Zabezpečení portů pro správu s využitím přístupu za běhu

Povolení JIT na virtuálních počítači z Microsoft Defenderu pro cloud

V Defenderu for Cloud můžete povolit a nakonfigurovat přístup k virtuálnímu počítače PODLET.

1. Otevřete řídicí panel Ochrany úloh a v oblasti rozšířené ochrany vyberte Přístup k virtuálnímu počítače za běhu.

   Otevře se stránka Přístup k virtuálním počítači za běhu, na které jsou vaše virtuální počítače seskupené na následujících kartách:

   • Nakonfigurované – virtuální počítače, které už jsou nakonfigurované tak, aby podporovaly přístup k virtuálním počítači za běhu. U každého virtuálního počítače se na nakonfigurované kartě zobrazí:
     • počet schválených žádostí JIT za posledních 7 dnů
     • datum a čas posledního přístupu
     • nakonfigurované podrobnosti připojení
     • poslední uživatel
   • Nenakonfigurované – virtuální počítače bez povoleného JIT, ale ty podporují JIT. Doporučujeme povolit JIT pro tyto virtuální počítače.
   • Nepodporované – virtuální počítače bez povoleného JIT, které tuto funkci nepodporují. Váš virtuální počítač může být na této kartě z následujících důvodů:
     • Chybějící skupina zabezpečení sítě (NSG) nebo Azure Firewall – JIT vyžaduje konfiguraci skupiny zabezpečení sítě nebo konfiguraci brány firewall (nebo obojí).
     • Klasický virtuální počítač – JIT podporuje virtuální počítače nasazené prostřednictvím Azure Resource Manager, nikoli nasazení Classic. Další informace o modelu nasazení Classic Azure Resource Manager nasazení.
     • Jiné – Váš virtuální počítač může být na této kartě, pokud je řešení JIT zakázané v zásadách zabezpečení předplatného nebo skupiny prostředků.

2. Na kartě Nenakonfigurované označte virtuální počítače, které chcete chránit pomocí JIT, a vyberte Povolit JIT na virtuálních počítači.

   Otevře se stránka Přístup k virtuálnímu počítače PODLET se seznamem portů, které Defender for Cloud doporučuje chránit:

   • 22. SSH
   • 3389 – RDP
   • 5985 - WinRM
   • 5986 - WinRM

   Pokud chcete přijmout výchozí nastavení, vyberte Uložit.

3. Přizpůsobení možností JIT:

   • Přidejte vlastní porty pomocí tlačítka Přidat.
   • Upravte jeden z výchozích portů tak, že ho vyberete ze seznamu.

   Pro každý port (vlastní a výchozí) nabízí podokno Přidat konfiguraci portu následující možnosti:

   • Protokol– Protokol, který je na tomto portu povolený při schválení žádosti
   • Povolené zdrojové IP adresy– rozsahy IP adres, které jsou na tomto portu povolené při schválení žádosti
   • Maximální doba požadavku– maximální časové období, během kterého je možné konkrétní port otevřít

   1. Nastavte zabezpečení portů podle svých potřeb.

   2. Vyberte OK.

4. Vyberte Uložit.

Úprava konfigurace JIT na virtuálním počítači s podporou JIT pomocí Defenderu for Cloud

Konfiguraci virtuálního počítače za běhu můžete upravit přidáním a konfigurací nového portu pro ochranu virtuálního počítače nebo změnou jakéhokoli jiného nastavení souvisejícího s již chráněným portem.

Úprava existujících pravidel JIT pro virtuální počítač:

1. Otevřete řídicí panel Ochrany úloh a v oblasti rozšířené ochrany vyberte Přístup k virtuálnímu počítače za běhu.

2. Na kartě Nakonfigurováno klikněte pravým tlačítkem na virtuální počítač, ke kterému chcete přidat port, a vyberte Upravit.

   

3. V části Konfigurace přístupu k virtuálnímu počítače PODLET můžete upravit stávající nastavení již chráněného portu nebo přidat nový vlastní port.

4. Po dokončení úprav portů vyberte Uložit.

Povolení JIT na virtuálních počítačích z virtuálních počítačů Azure

JIT můžete na virtuálním počítači povolit na stránkách virtuálních počítačů Azure v Azure Portal.

1. V Azure Portalvyhledejte a vyberte Virtuální počítače.

2. Vyberte virtuální počítač, který chcete chránit pomocí JIT.

3. V nabídce vyberte Konfigurace.

4. V části Přístup za běhu vyberte Povolit za běhu.

   To umožňuje přístup k virtuálnímu počítače za běhu s použitím následujících výchozích nastavení:

   • Windows počítače:
     • Port RDP 3389
     • Tři hodiny maximálního povoleného přístupu
     • Povolená zdrojová IP adresa je nastavená na Hodnotu Libovolná.
   • Počítače s Linuxem:
     • Port SSH 22
     • Tři hodiny maximálního povoleného přístupu
     • Povolená zdrojová IP adresa je nastavená na Hodnotu Libovolná.

5. Pro úpravu kterékoli z těchto hodnot nebo přidání dalších portů do konfigurace JIT použijte Microsoft Defender pro stránku za běhu v cloudu:

   1. Z nabídky Defender pro Cloud vyberte možnost přístup k virtuálním počítačům za běhu.

   2. Na kartě konfigurované klikněte pravým tlačítkem na virtuální počítač, ke kterému chcete přidat port, a vyberte Upravit.

      

   3. V části Konfigurace přístupu k virtuálním počítačům JIT můžete upravit existující nastavení již chráněného portu nebo přidat nový vlastní port.

   4. Po dokončení úprav portů vyberte Uložit.

Povolení JIT na virtuálních počítačích pomocí PowerShellu

Pokud chcete povolit přístup k virtuálnímu počítači za běhu z PowerShellu, použijte oficiální rutinu Microsoft Defenderu pro cloudové prostředí PowerShell Set-AzJitNetworkAccessPolicy .

Příklad – povolení přístupu k virtuálnímu počítači za běhu na konkrétním virtuálním počítači s následujícími pravidly:

• Zavřít porty 22 a 3389
• Nastavte maximální časový interval pro každé 3 hodiny, aby bylo možné je otevřít na základě schválené žádosti.
• Umožňuje uživateli, který žádá o přístup, řídit zdrojové IP adresy.
• Povolí uživateli, který žádá o přístup, aby navázal úspěšnou relaci na základě schválené žádosti o přístup za běhu.

Následující příkazy PowerShellu vytvoří tuto konfiguraci JIT:

1. Přiřaďte proměnnou, která obsahuje pravidla přístupu k virtuálnímu počítači za běhu pro virtuální počítač:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
   

2. Vložte pravidla přístupu k virtuálnímu počítači za běhu do pole:

   $JitPolicyArr=@($JitPolicy)
   

3. Nakonfigurujte pravidla přístupu k VIRTUÁLNÍm počítačům za běhu na vybraném virtuálním počítači:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   K určení virtuálního počítače použijte parametr-Name. Chcete-li například vytvořit konfiguraci JIT pro dva různé virtuální počítače, VM1 a VM2, použijte: Set-AzJitNetworkAccessPolicy -Name VM1 a Set-AzJitNetworkAccessPolicy -Name VM2 .

Povolení JIT na virtuálních počítačích pomocí REST API

Funkce přístupu k VIRTUÁLNÍm počítačům za běhu se dá použít přes Microsoft Defender pro Cloud API. Pomocí tohoto rozhraní API můžete získat informace o konfigurovaných virtuálních počítačích, přidat nové, požádat o přístup k virtuálnímu počítači a další.

Další informace najdete v zásadách síťového přístupu JIT.

Požádat o přístup k virtuálnímu počítači s podporou JIT z programu Microsoft Defender pro Cloud

Pokud má virtuální počítač povolený kompilátor JIT, budete muset požádat o přístup, abyste se k němu mohli připojit. Přístup můžete vyžádat libovolným z podporovaných způsobů bez ohledu na to, jak jste povolili JIT.

1. Na stránce přístup k virtuálnímu počítači za běhu vyberte nakonfigurovanou kartu.

2. Označte virtuální počítače, ke kterým chcete získat přístup.

   • Ikona ve sloupci Podrobnosti o připojení označuje, zda je pro skupinu zabezpečení sítě nebo bránu firewall povolena JIT. Pokud je tato možnost povolena, zobrazí se pouze ikona brány firewall.

   • Sloupec Podrobnosti o připojení poskytuje informace požadované pro připojení virtuálního počítače a jeho otevřených portů.

3. Vyberte požádat o přístup. Otevře se okno žádosti o přístup .

4. V části požádat o přístup nakonfigurujte pro každý virtuální počítač porty, které chcete otevřít, a zdrojové IP adresy, na kterých je port otevřený, a časový interval, pro který bude port otevřený. Bude možné požádat jenom o přístup k nakonfigurovaným portům. Každý port má maximální povolený čas odvozený od konfigurace JIT, kterou jste vytvořili.

5. Vyberte otevřít porty.

Vyžádání přístupu k virtuálnímu počítači s podporou JIT ze stránky připojení virtuálního počítače Azure

Pokud má virtuální počítač povolený kompilátor JIT, budete muset požádat o přístup, abyste se k němu mohli připojit. Přístup můžete vyžádat libovolným z podporovaných způsobů bez ohledu na to, jak jste povolili JIT.

Vyžádání přístupu z virtuálních počítačů Azure:

1. V Azure Portal otevřete stránky virtuálních počítačů.

2. vyberte virtuální počítač, ke kterému se chcete připojit, a otevřete stránku Připojení .

   Azure zkontroluje, jestli je na tomto virtuálním počítači povolená kompilátor JIT.

   • Pokud pro virtuální počítač není kompilátor JIT povolený, zobrazí se výzva k jeho povolení.

   • Pokud je technologie JIT povolena, vyberte požádat o přístup k předání žádosti o přístup s požadavkem na IP adresu, časový rozsah a porty, které byly nakonfigurovány pro daný virtuální počítač.

Žádost o přístup k virtuálnímu počítači s podporu JIT pomocí PowerShellu

V následujícím příkladu uvidíte požadavek na přístup k virtuálnímu počítači za běhu na konkrétní virtuální počítač, ve kterém se vyžaduje otevření portu 22 pro konkrétní IP adresu a po určitou dobu:

Spusťte následující příkaz v PowerShellu:

1. Nakonfigurujte vlastnosti přístupu k žádosti virtuálních počítačů:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. Vložte parametry žádosti o přístup k virtuálnímu počítači do pole:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. Poslat žádost o přístup (použijte ID prostředku z kroku 1)

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

Další informace najdete v dokumentaci k rutinám prostředí PowerShell.

Vyžádat přístup k virtuálním počítačům s podporou JIT pomocí REST API

Funkce přístupu k VIRTUÁLNÍm počítačům za běhu se dá použít přes Microsoft Defender pro Cloud API. Pomocí tohoto rozhraní API můžete získat informace o konfigurovaných virtuálních počítačích, přidat nové, požádat o přístup k virtuálnímu počítači a další.

Další informace najdete v zásadách síťového přístupu JIT.