你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 的 Defender for Servers 计划 2 提供实时计算机访问功能。 “实时”可保护你的资源,防止威胁行动者主动搜寻具有开放管理端口(例如远程桌面协 (RDP) 或安全外壳 (SSH))的计算机。 所有计算机都是攻击的潜在目标。 入侵后,计算机可以作为进一步攻击环境中的资源的入口点。
若要减少攻击面,请尽量减少开放端口,尤其是管理端口。 但是,合法用户也需要这些端口,使得保持其关闭是不切实际的。
Defender for Cloud 的实时计算机访问功能可锁定虚拟机(VM)的入站流量,从而减少受到攻击的暴露,同时确保在需要时轻松访问。
即时访问和网络资源
Azure
在 Azure 中,启用实时访问以阻止特定端口上的入站流量。
- Defender for Cloud 确保针对网络安全组 (NSG) 和 Azure 防火墙规则中的所选端口存在“拒绝所有入站流量”规则。
- 这些规则限制对 Azure VM 管理端口的访问,并防止它们受到攻击。
- 如果所选端口已存在其他规则,则这些现有规则优先于新的“拒绝所有入站流量”规则。
- 如果所选端口上没有现有规则,新规则在 NSG 和 Azure 防火墙中优先。
Amazon Web Services
在 Amazon Web Services (AWS)中,启用实时访问以撤销附加的 EC2 安全组(针对所选端口)中的相关规则,从而阻止这些特定端口上的入站流量。
- 当用户请求访问 VM 时,Defender for Servers 会检查该用户是否具有该 VM 的 Azure 基于角色的访问控制 (Azure RBAC) 权限。
- 如果请求获得批准,Defender for Cloud 会将 NSG 和 Azure 防火墙配置为允许从相关 IP 地址(或范围)到所选端口的入站流量达到指定时间。
- 在 AWS 中,Defender for Cloud 会创建一个新的 EC2 安全组,允许入站流量发送到指定端口。
- 时间过期后,Defender for Cloud 会将 NSG 还原到其以前的状态。
- 已经建立的连接不会被中断。
注意
- 即时访问不支持由 Azure 防火墙管理器控制的 Azure 防火墙保护的 VM。
- Azure 防火墙必须配置规则(经典),并且不能使用防火墙策略。
识别用于即时访问的 VM
下图展示了 Defender for Servers 在决定如何分类支持的 VM 时应用的逻辑:
当 Defender for Cloud 发现可以从即时访问获益的计算机时,它会将该计算机添加到建议的“运行不正常的资源”选项卡中。
