فهم الوصول إلى VM في نفس الوقت (JIT)
تشرح هذه الصفحة المبادئ الكامنة وراء ميزة الوصول إلى VM في الوقت المناسب (JIT) من Microsoft Defender for Cloud والمنطق وراء التوصية.
لمعرفة كيفية تطبيق JIT على الأجهزة الظاهرية باستخدام مدخل Azure (إما Defender for Cloud أو Azure Virtual Machines) أو برمجيا، راجع كيفية تأمين منافذ الإدارة باستخدام JIT.
خطر فتح منافذ الإدارة على جهاز ظاهري
تقوم الجهات الفاعلة في مجال التهديدات بمطاردة الأجهزة التي يمكن الوصول إليها بنشاط باستخدام منافذ الإدارة المفتوحة ، مثل RDP أو SSH. تعد جميع الأجهزة الافتراضية الخاصة بك أهداف محتملة للهجوم. عندما يتم اختراق جهاز ظاهري بنجاح، يتم استخدامه كنقطة دخول لمهاجمة المزيد من الموارد داخل البيئة الخاصة بك.
لماذا الوصول إلى JIT VM هو الحل
كما هو الحال مع جميع تقنيات منع الأمن السيبراني ، يجب أن يكون هدفك هو تقليل سطح الهجوم. في هذه الحالة ، هذا يعني وجود عدد أقل من المنافذ المفتوحة ، وخاصة منافذ الإدارة.
يستخدم المستخدمون الشرعيون أيضا هذه المنافذ ، لذلك ليس من العملي إبقائها مغلقة.
لحل هذه المعضلة ، يقدم Microsoft Defender for Cloud JIT. باستخدام JIT، يمكنك تأمين نسبة استخدام الشبكة الواردة إلى الأجهزة الظاهرية ما يقلل من التعرض للهجمات مع توفير سهولة الوصول إلى الاتصال بالأجهزة الظاهرية عند الحاجة.
كيفية عمل JIT مع مجموعات أمان الشبكة وجدار حماية Azure
عند تمكين الوصول إلى الجهاز الظاهرية في الوقت المناسب، يمكنك تحديد المنافذ على الجهاز الظاهري الذي سيتم حظر نسبة استخدام الشبكة الواردة إليه. يضمن Defender for Cloud وجود قواعد "رفض جميع حركة المرور الواردة" للمنافذ المحددة في مجموعة أمان الشبكة (NSG) وقواعد جدار حماية Azure. تقيد هذه القواعد الوصول إلى منافذ إدارة الأجهزة الظاهرية لـ Azure الخاصة بك وتدافع عنها من الهجوم.
إذا كانت هناك قواعد أخرى موجودة بالفعل للمنافذ المحددة، فإن هذه القواعد الموجودة لها الأولوية على قواعد "رفض جميع نسبة استخدام الشبكة الواردة" الجديدة. إذا لم تكن هناك قواعد موجودة على المنافذ المحددة، فستأخذ القواعد الجديدة الأولوية العليا في Azure Firewall NSG وNSG.
عندما يطلب مستخدم الوصول إلى جهاز ظاهري، يتحقق Defender for Cloud من أن المستخدم لديه أذونات التحكم في الوصول المستندة إلى دور Azure (Azure RBAC) لهذا الجهاز الظاهري. إذا تمت الموافقة على الطلب، يقوم Defender for Cloud بتكوين مجموعات NSG و Azure Firewall للسماح بحركة المرور الواردة إلى المنافذ المحددة من عنوان IP ذي الصلة (أو النطاق)، لفترة الوقت التي تم تحديدها. بعد انتهاء الوقت، مركز الأمان يعيد NSGs إلى حالاتها السابقة. لا تتم مقاطعة الاتصالات التي تم تأسيسها بالفعل.
ملاحظة
لا تدعم JIT الأجهزة الظاهرية المحمية بواسطة جدران حماية Azure التي يتم التحكم فيها بواسطة Azure Firewall Manager. يجب تكوين جدار حماية Azure باستخدام القواعد (الكلاسيكية) ولا يمكن استخدام نهج جدار الحماية.
كيف يحدد Defender for Cloud الأجهزة الظاهرية التي يجب أن تطبق JIT
يوضح الرسم البياني أدناه المنطق الذي يطبقه Defender for Cloud عند تحديد كيفية تصنيف الأجهزة الظاهرية المدعومة:
عندما يعثر Defender for Cloud على جهاز يمكنه الاستفادة من JIT، فإنه يضيف هذا الجهاز إلى علامة التبويب الموارد غير الصحية الخاصة بالتوصية.
الأسئلة المتداولة - الوصول إلى الجهاز الظاهري في الوقت المناسب
ما هي الأذونات المطلوبة لتكوين JIT واستخدامه؟
يتطلب JIT تمكين Microsoft Defender للخوادم الخطة 2 على الاشتراك.
يمكن لأدوار القارئ و SecurityReader عرض كل من حالة JIT والمعلمات.
إذا كنت ترغب في إنشاء أدوار مخصصة يمكنها العمل مع JIT، فستحتاج إلى التفاصيل من الجدول أدناه.
تلميح
لإنشاء دور أقل امتيازا للمستخدمين الذين يحتاجون إلى طلب وصول JIT إلى جهاز ظاهري، وعدم تنفيذ أي عمليات JIT أخرى، استخدم البرنامج النصي Set-JitLessPrivilegedRole من صفحات مجتمع Defender for Cloud GitHub.
| لتمكين مستخدم من: | أذونات لتعيينها |
|---|---|
| تكوين نهج JIT أو تحريره لجهاز ظاهري | قم بتعيين هذه الإجراءات إلى الدور:
|
| طلب وصول JIT إلى جهاز ظاهري | قم بتعيين هذه الإجراءات للمستخدم:
|
| قراءة سياسات JIT | قم بتعيين هذه الإجراءات للمستخدم:
|
الخطوات التالية
توضح هذه الصفحة سبب استخدام الوصول إلى الجهاز الظاهري (VM) في الوقت المناسب (JIT). للتعرف على كيفية تمكين JIT وطلب الوصول إلى الأجهزة الظاهرية التي تم تمكين JIT، راجع ما يلي: