Włączanie dostępu w odpowiednim momencie

Usługa Defender for Servers w usłudze Microsoft Defender for Cloud umożliwia dostęp do maszyny w trybie just-in-time.

Dostęp just in time usługi Microsoft Defender for Cloud umożliwia ochronę maszyn wirtualnych platformy Azure przed nieautoryzowanym dostępem do sieci. Wiele razy zapory zawierają reguły zezwalania, które pozostawiają maszyny wirtualne narażone na ataki. Dostęp JIT umożliwia dostęp do maszyn wirtualnych tylko wtedy, gdy jest to konieczne, na potrzebnych portach i przez wymagany czas.

Z tego artykułu dowiesz się, jak skonfigurować dostęp just in time i korzystać z niego, w tym instrukcje:

Włączanie just in time na maszynach wirtualnych z witryny Azure Portal lub programowo
Żądanie dostępu do maszyny wirtualnej z włączonym dostępem just in time z poziomu witryny Azure Portal lub programowo
Przeprowadź inspekcję aktywności dostępu właśnie na czas, aby upewnić się, że maszyny wirtualne są odpowiednio zabezpieczone

Wymagania wstępne

Usługa Microsoft Defender dla serwerów (plan 2 ) musi być włączona w ramach subskrypcji.
Obsługiwane maszyny wirtualne: maszyny wirtualne wdrożone za pośrednictwem usługi Azure Resource Manager, chronione przez usługę Azure Firewalls w tej samej sieci wirtualnej co VM, instancje AWS EC2 (wersja zapoznawcza).
Nieobsługiwane maszyny wirtualne: maszyny wirtualne wdrożone z klasycznymi modelami wdrażania, maszyny wirtualne chronione przez usługę Azure Firewalls kontrolowane przez usługę Azure Firewall Manager.
Aby skonfigurować dostęp na żądanie na maszynach wirtualnych platformy AWS, musisz połączyć konto platformy AWS z usługą Microsoft Defender for Cloud.
Aby utworzyć zasady JIT, nazwa zasad wraz z docelową nazwą maszyny wirtualnej nie może przekraczać łącznie 56 znaków.
Potrzebujesz uprawnień Czytelnik i SecurityReader lub rola niestandardowa może wyświetlać stan i parametry trybu JIT.
W przypadku roli niestandardowej przypisz uprawnienia podsumowane w tabeli. Aby utworzyć rolę o najniższych uprawnieniach dla użytkowników, którzy muszą zażądać dostępu JIT tylko do maszyny wirtualnej, użyj skryptuSet-JitLeastPrivilegedRole.

Akcja użytkownika	Uprawnienia do ustawienia
Konfigurowanie lub edytowanie zasad JIT dla maszyny wirtualnej	Przypisz te akcje do roli: W zakresie subskrypcji (lub grupy zasobów tylko w przypadku korzystania z interfejsu API lub programu PowerShell) skojarzonej z maszyną wirtualną: `Microsoft.Security/locations/jitNetworkAccessPolicies/write` W zakresie subskrypcji (lub grupy zasobów tylko w przypadku korzystania z interfejsu API lub programu PowerShell) maszyny wirtualnej: `Microsoft.Compute/virtualMachines/write`
Żądanie dostępu JIT do maszyny wirtualnej	Przypisz te akcje do użytkownika: `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/locations/jitNetworkAccessPolicies//read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/networkInterfaces//read` `Microsoft.Network/publicIPAddresses/read`
Przeczytaj zasady JIT	Przypisz te akcje do użytkownika: `Microsoft.Security/locations/jitNetworkAccessPolicies/read` `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/policies/read` `Microsoft.Security/pricings/read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/*/read`

Uwaga / Notatka

Microsoft.Security Tylko uprawnienia są istotne dla platformy AWS. Aby utworzyć rolę o najniższych uprawnieniach dla użytkowników, którzy muszą zażądać dostępu JIT tylko do maszyny wirtualnej, użyj skryptu Set-JitLeastPrivilegedRole.

Praca z dostępem do maszyny wirtualnej JIT przy użyciu usługi Microsoft Defender for Cloud

Możesz użyć usługi Defender for Cloud lub programowo włączyć dostęp do maszyn wirtualnych JIT przy użyciu własnych niestandardowych opcji, lub włączyć tryb JIT z domyślnymi, ustalonymi parametrami maszyn wirtualnych Azure.

Dostęp just-in-time do maszyn wirtualnych pokazuje maszyny wirtualne podzielone na:

Skonfigurowane — maszyny wirtualne skonfigurowane do obsługi dostępu just in time do maszyn wirtualnych i pokazują:
- liczba zatwierdzonych żądań JIT w ciągu ostatnich siedmiu dni
- data i godzina ostatniego dostępu
- skonfigurowane szczegóły połączenia
- ostatni użytkownik
Nieskonfigurowane — maszyny wirtualne bez włączonego trybu JIT, ale mogą obsługiwać tryb JIT. Zalecamy włączenie trybu JIT dla tych maszyn wirtualnych.
Nieobsługiwane — maszyny wirtualne, które nie obsługują trybu JIT, ponieważ:
- Brak sieciowej grupy zabezpieczeń lub usługi Azure Firewall — JIT wymaga skonfigurowania sieciowej grupy zabezpieczeń lub konfiguracji zapory (lub obu tych grup)
- Klasyczna maszyna wirtualna — JIT obsługuje maszyny wirtualne wdrażane za pośrednictwem usługi Azure Resource Manager.
- Inne — rozwiązanie JIT jest wyłączone w zasadach zabezpieczeń subskrypcji lub grupy zasobów.

Włączanie trybu JIT na maszynach wirtualnych z usługi Microsoft Defender for Cloud

W usłudze Defender for Cloud możesz włączyć i skonfigurować dostęp do maszyny wirtualnej JIT.

Otwórz Zabezpieczenia Obciążeń i w Zaawansowanych Zabezpieczeniach wybierz Dostęp Just-in-Time do Maszyny Wirtualnej.
Na karcie Nieskonfigurowane maszyny wirtualne oznacz maszyny wirtualne w celu ochrony za pomocą trybu JIT i wybierz pozycję Włącz dostęp JIT na maszynach wirtualnych.

Zostanie otwarta strona dostępu do maszyny wirtualnej JIT zawierająca listę portów, które usługa Defender for Cloud zaleca ochronę:
- 22 — SSH
- 3389 — RDP
- 5985 — WinRM
- 5986 — WinRM
Aby dostosować dostęp JIT:
1. Wybierz Dodaj.
2. Wybierz jeden z portów na liście, aby go edytować lub wprowadzić inne porty. Dla każdego portu można ustawić następujące ustawienia:
  - Protocol
  - Dozwolone źródłowe adresy IP
  - Maksymalny czas żądania
3. Kliknij przycisk OK.
Aby zapisać konfigurację portu, wybierz pozycję Zapisz.

Edytowanie konfiguracji trybu JIT na maszynie wirtualnej z obsługą trybu JIT przy użyciu usługi Defender for Cloud

Konfigurację just in time maszyny wirtualnej można zmodyfikować, dodając i konfigurując nowy port do ochrony dla tej maszyny wirtualnej lub zmieniając inne ustawienie związane z już chronionym portem.

Aby edytować istniejące reguły JIT dla maszyny wirtualnej:

Otwórz Zabezpieczenia Obciążeń i w Zaawansowanych Zabezpieczeniach wybierz Dostęp Just-in-Time do Maszyny Wirtualnej.
Na karcie Skonfigurowane maszyny wirtualne kliknij prawym przyciskiem myszy maszynę wirtualną i wybierz polecenie Edytuj.
W konfiguracji dostępu do maszyny wirtualnej JIT można edytować listę portów lub wybrać pozycję Dodaj nowy port niestandardowy.
Po zakończeniu edytowania portów wybierz pozycję Zapisz.

Żądanie dostępu do maszyny wirtualnej z obsługą trybu JIT z poziomu usługi Microsoft Defender for Cloud

Jeśli maszyna wirtualna ma włączony dostęp JIT, musisz zażądać dostępu, aby nawiązać z nią połączenie. Dostęp można zażądać na dowolny z obsługiwanych sposobów, niezależnie od sposobu włączania trybu JIT.

Na stronie Dostęp just in time do maszyny wirtualnej wybierz kartę Skonfigurowane .
Wybierz maszyny wirtualne, do których chcesz uzyskać dostęp.
- Ikona w kolumnie Szczegóły połączenia wskazuje, czy tryb JIT jest włączony w sieciowej grupie zabezpieczeń lub zaporze. Jeśli jest ona włączona w obu tych przypadkach, zostanie wyświetlona tylko ikona zapory.
- W kolumnie Szczegóły połączenia jest wyświetlany użytkownik i porty, które mogą uzyskiwać dostęp do maszyny wirtualnej.
Wybierz pozycję Zażądaj dostępu. Zostanie otwarte okno Żądanie dostępu .
W obszarze Żądanie dostępu wybierz porty, które chcesz otworzyć dla każdej maszyny wirtualnej, źródłowe adresy IP, na których ma zostać otwarty port, oraz okno czasowe do otwarcia portów.
Wybierz pozycję Otwórz porty.

Uwaga / Notatka

Jeśli użytkownik, który żąda dostępu, znajduje się za serwerem proxy, możesz wprowadzić zakres adresów IP serwera proxy.

Inne sposoby pracy z dostępem do maszyny wirtualnej JIT

Maszyny wirtualne platformy Azure

Włączanie trybu JIT na maszynach wirtualnych z maszyn wirtualnych platformy Azure

Możesz włączyć JIT na maszynie wirtualnej na stronach maszyn wirtualnych w portalu Azure.

Wskazówka

Jeśli maszyna wirtualna ma już włączony tryb JIT, na stronie konfiguracji maszyny wirtualnej zostanie wyświetlony komunikat o włączeniu trybu JIT. Możesz użyć linku, aby otworzyć stronę dostępu do maszyny wirtualnej JIT w usłudze Defender for Cloud, aby wyświetlić i zmienić ustawienia.

W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.
Wybierz maszynę wirtualną, którą chcesz chronić za pomocą trybu JIT.
W menu wybierz pozycję Konfiguracja.
W obszarze Dostęp just-in-time wybierz Włącz just-in-time.

Domyślnie dostęp just in time dla maszyny wirtualnej używa następujących ustawień:
- Maszyny z systemem Windows:
  - Port RDP: 3389
  - Maksymalny dozwolony dostęp: 3 godziny
  - Dozwolone źródłowe adresy IP: dowolne
- Maszyny z systemem Linux:
  - Port SSH: 22
  - Maksymalny dozwolony dostęp: 3 godziny
  - Dozwolone źródłowe adresy IP: dowolne
Aby edytować dowolną z tych wartości lub dodać więcej portów do konfiguracji JIT, użyj strony Just-in-Time w usłudze Microsoft Defender for Cloud.
1. Z menu usługi Defender for Cloud wybierz pozycję Dostęp just in time do maszyny wirtualnej.
2. Na karcie Skonfigurowane kliknij prawym przyciskiem myszy maszynę wirtualną, do której chcesz dodać port, a następnie wybierz pozycję Edytuj.
3. W obszarze Konfiguracja dostępu do maszyny wirtualnej JIT można edytować istniejące ustawienia już chronionego portu lub dodać nowy port niestandardowy.
4. Po zakończeniu edytowania portów wybierz pozycję Zapisz.

Żądanie dostępu do maszyny wirtualnej z obsługą trybu JIT na stronie połączenia maszyny wirtualnej platformy Azure

Zrzut ekranu przedstawiający żądanie dostępu just in time do maszyny wirtualnej z wybranymi portami i czasem trwania dostępu.

Aby zażądać dostępu z maszyn wirtualnych platformy Azure:

W witrynie Azure Portal otwórz strony maszyn wirtualnych.
Wybierz maszynę wirtualną, z którą chcesz nawiązać połączenie, a następnie otwórz stronę Połącz .

Platforma Azure sprawdza, czy na tej maszynie wirtualnej jest włączony tryb JIT.
- Jeśli tryb JIT nie jest włączony dla maszyny wirtualnej, zostanie wyświetlony monit o jego włączenie.
- Jeśli tryb JIT jest włączony, wybierz pozycję Zażądaj dostępu , aby przekazać żądanie dostępu z żądanym adresem IP, zakresem czasu i portami skonfigurowanymi dla tej maszyny wirtualnej.

Uwaga / Notatka

Po zatwierdzeniu żądania dla maszyny wirtualnej chronionej przez usługę Azure Firewall usługa Defender for Cloud udostępnia użytkownikowi odpowiednie szczegóły połączenia (mapowanie portów z tabeli DNAT) w celu nawiązania połączenia z maszyną wirtualną.

PowerShell

Włączanie trybu JIT na maszynach wirtualnych przy użyciu programu PowerShell

Aby włączyć dostęp just in time do maszyny wirtualnej z poziomu programu PowerShell, użyj oficjalnego polecenia cmdlet Set-AzJitNetworkAccessPolicyprogramu PowerShell w usłudze Microsoft Defender for Cloud.

Przykład — Włącz dostęp na żądanie do maszyny wirtualnej zgodnie z następującymi regułami:

Zamknij porty 22 i 3389
Ustaw maksymalny przedział czasu wynoszący 3 godziny dla każdego z nich, aby można było je otworzyć dla zatwierdzonego żądania
Zezwalaj użytkownikowi, który żąda dostępu do kontrolowania źródłowych adresów IP
Pozwalaj użytkownikowi, który występuje o dostęp, na ustanowienie pomyślnej sesji po zatwierdzeniu żądania dostępu just-in-time.

Następujące polecenia programu PowerShell tworzą tę konfigurację trybu JIT:

Przypisz zmienną, która zawiera reguły dostępu just in time dla maszyny wirtualnej:

$JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

Wstaw reguły dostępu just-in-time VM do tablicy.
```
$JitPolicyArr=@($JitPolicy)
```
Skonfiguruj reguły dostępu just in time do maszyny wirtualnej na wybranej maszynie wirtualnej:
```
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
```
Użyj parametru -Name, aby określić maszynę wirtualną. Aby na przykład ustanowić konfigurację trybu JIT dla dwóch różnych maszyn wirtualnych, maszyn wirtualnych VM1 i VM2, użyj następujących poleceń: Set-AzJitNetworkAccessPolicy -Name VM1 i Set-AzJitNetworkAccessPolicy -Name VM2.

Żądanie dostępu do maszyny wirtualnej z obsługą trybu JIT przy użyciu programu PowerShell

W poniższym przykładzie można zobaczyć żądanie dostępu just in time do określonej maszyny wirtualnej dla portu 22, dla określonego adresu IP i przez określony czas:

Uruchom następujące polecenia w programie PowerShell:

Skonfiguruj parametry dostępu do żądań maszyny wirtualnej.

$JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        endTimeUtc="2020-07-15T17:00:00.3658798Z";
        allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

Wstaw parametry żądania dostępu do maszyny wirtualnej w tablicy:
```
$JitPolicyArr=@($JitPolicyVm1)
```

Wyślij wniosek o dostęp (użyj identyfikatora zasobu z kroku 1)

Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Dowiedz się więcej w dokumentacji poleceń cmdlet programu PowerShell.

interfejs API REST

Włączanie trybu JIT na maszynach wirtualnych przy użyciu interfejsu API REST

Funkcja dostępu just in time do maszyny wirtualnej może być używana za pośrednictwem interfejsu API usługi Microsoft Defender for Cloud. Użyj tego interfejsu API, aby uzyskać informacje o skonfigurowanych maszynach wirtualnych, dodawać nowe, żądać dostępu do maszyny wirtualnej i nie tylko.

Dowiedz się więcej na temat zasad dostępu do sieci JIT.

Żądanie dostępu do maszyny wirtualnej z obsługą trybu JIT przy użyciu interfejsu API REST