Udostępnij przez

Dostęp just in time do maszyny

Plan 2 usługi Defender for Servers w ramach Microsoft Defender for Cloud oferuje funkcję dostępu na żądanie. Just-in-time chroni zasoby przed zagrożeniami ze strony cyberprzestępców, aktywnie polującymi na maszyny z otwartymi portami zarządzania, takimi jak Remote Desktop Protocol (RDP) lub Secure Shell (SSH). Wszystkie maszyny są potencjalnymi celami ataków. Po naruszeniu zabezpieczeń maszyna może służyć jako punkt wejścia do dalszych zasobów ataku w środowisku.

Aby zmniejszyć powierzchnie ataków, zminimalizuj otwarte porty, zwłaszcza porty zarządzania. Jednak wiarygodni użytkownicy potrzebują również tych portów, co czyni je niepraktycznym, aby je zamknąć.

Funkcja dostępu just-in-time w usłudze Defender for Cloud blokuje ruch przychodzący do maszyn wirtualnych (VM), zmniejszając ekspozycję na ataki, a równocześnie zapewniając łatwy dostęp w razie potrzeby.

Dostęp just in time i zasoby sieciowe

Azure

Na platformie Azure włącz funkcję just-in-time, aby zablokować ruch zewnętrzny na określonych portach.

  • Defender dla Chmury gwarantuje, że istnieją reguły "odmów całego ruchu przychodzącego" dla wybranych portów w regułach sieciowej grupy zabezpieczeń i usługi Azure Firewall.
  • Te reguły ograniczają dostęp do portów zarządzania maszyn wirtualnych platformy Azure i bronią ich przed atakiem.
  • Jeśli dla wybranych portów istnieją już inne reguły, te istniejące reguły mają priorytet nad nowymi regułami "odmów całego ruchu przychodzącego".
  • Jeśli żadne istniejące reguły nie znajdują się na wybranych portach, nowe reguły mają najwyższy priorytet w sieciowej grupie zabezpieczeń i usłudze Azure Firewall.

Amazon Web Services

W Amazon Web Services (AWS) włącz dostęp w trybie just-in-time, aby unieważnić odpowiednie reguły w przypisanych grupach zabezpieczeń EC2 (dla wybranych portów), blokując ruch przychodzący na tych określonych portach.

  • Gdy użytkownik żąda dostępu do maszyny wirtualnej, usługa Defender for Servers sprawdza, czy użytkownik ma uprawnienia kontroli dostępu na podstawie ról (RBAC ) platformy Azure dla tej maszyny wirtualnej.
  • Jeśli żądanie zostanie zatwierdzone, usługa Defender for Cloud skonfiguruje grupy zabezpieczeń (NSG) i usługę Azure Firewall, aby zezwolić na ruch przychodzący do wybranych portów z odpowiedniego adresu IP (lub zakresu) przez określony czas.
  • W usłudze AWS Defender dla Chmury tworzy nową grupę zabezpieczeń EC2, która zezwala na ruch przychodzący do określonych portów.
  • Po wygaśnięciu czasu usługa Defender for Cloud przywraca sieciowe grupy zabezpieczeń do poprzednich stanów.
  • Połączenia, które zostały już nawiązane, nie są przerywane.

Uwaga

  • Dostęp just in time nie obsługuje maszyn wirtualnych chronionych przez usługi Azure Firewalls kontrolowane przez usługę Azure Firewall Manager.
  • Usługa Azure Firewall musi być skonfigurowana przy użyciu reguł (klasycznych) i nie może używać zasad zapory.

Identyfikowanie maszyn wirtualnych na potrzeby dostępu just in time

Na poniższym diagramie przedstawiono logikę, która ma zastosowanie w usłudze Defender for Servers podczas podejmowania decyzji o kategoryzowaniu obsługiwanych maszyn wirtualnych:

Gdy Defender dla Chmury znajdzie maszynę, która może korzystać z dostępu just in time, dodaje ją do karty Zasoby w złej kondycji zalecenia.

Zrzut ekranu przedstawiający zasób w złej kondycji.

Następny krok

Włączanie dostępu just in time na maszynach wirtualnych

  • Last updated on