Amankan port manajemen Anda dengan akses tepat waktu

Kunci lalu lintas masuk ke Azure Virtual Machines Anda dengan fitur akses komputer virtual (VM) just-in-time (JIT). Hal ini mengurangi paparan serangan sekaligus memberikan akses mudah saat Anda perlu terhubung ke VM.

Untuk penjelasan lengkap tentang cara kerja JIT dan logika yang mendasarinya, lihat Penjelasan tepat waktu.

Untuk penjelasan lengkap tentang persyaratan hak istimewa, lihat Izin apa yang diperlukan untuk mengonfigurasi dan menggunakan JIT?.

Halaman ini mengajarkan Anda cara memasukkan JIT dalam program keamanan Anda. Anda akan mempelajari cara:

• Aktifkan JIT di VM Anda - Anda dapat mengaktifkan JIT dengan opsi kustom Anda sendiri untuk satu atau beberapa VM menggunakan Defender for Cloud, PowerShell, atau REST API. Atau, Anda dapat mengaktifkan JIT dengan parameter default berkode keras, dari komputer virtual Azure. Saat diaktifkan, JIT mengunci lalu lintas masuk ke Azure dan AWS VM Anda dengan membuat aturan di grup keamanan jaringan Anda.
• Meminta akses ke VM dengan JIT aktif - Tujuan JIT adalah untuk memastikan bahwa meskipun lalu lintas masuk Anda terkunci, Defender for Cloud tetap menyediakan akses mudah untuk terhubung ke VM bila diperlukan. Anda dapat meminta akses ke VM yang mendukung JIT dari Defender for Cloud, komputer virtual Azure, PowerShell, atau REST API.
• Audit aktivitas - Untuk memastikan VM Anda diamankan dengan benar, tinjau akses ke VM berkemampuan JIT sebagai bagian dari pemeriksaan keamanan rutin Anda.

Ketersediaan

Aspek	Detail
Status rilis:	Ketersediaan umum (GA)
VM yang didukung:	VM yang diterapkan melalui Azure Resource Manager. VM yang diterapkan dengan model penerapan klasik. Pelajari lebih lanjut tentang model penerapan ini. VM yang dilindungi oleh Azure Firewall1 yang dikontrol oleh Azure Firewall Manager. Instans AWS EC2 (Pratinjau)
Peran dan izin akses yang diperlukan:	Peran Pembaca dan Pembaca Keamanan dapat melihat status dan parameter JIT. Untuk membuat peran khusus yang dapat bekerja dengan JIT, lihat Izin apa yang diperlukan untuk mengonfigurasi dan menggunakan JIT?. Untuk membuat peran dengan hak istimewa terbatas bagi pengguna yang perlu meminta akses JIT ke VM, dan tidak melakukan operasi JIT lainnya, gunakan skrip Set-Jit Peran dengan Keistimewaan Terkecil dari laman komunitas Defender for Cloud Center GitHub.
Cloud:	Cloud komersial Nasional (Azure Government, Azure Tiongkok) Akun AWS yang terhubung (Pratinjau)

¹ Untuk VM apa pun yang dilindungi oleh Azure Firewall, JIT hanya akan sepenuhnya melindungi komputer jika berada di VNET yang sama dengan firewall. VM yang menggunakan peering VNET tidak akan sepenuhnya terlindungi.

Aktifkan akses JIT VM

Anda dapat mengaktifkan akses JIT VM dengan opsi kustom Anda sendiri untuk satu atau beberapa VM menggunakan Defender for Cloud atau secara terprogram.

Atau, Anda dapat mengaktifkan JIT dengan parameter default berkode keras, dari komputer virtual Azure.

Masing-masing opsi ini dijelaskan dalam tab terpisah di bawah ini.

Microsoft Defender for Cloud

Aktifkan JIT pada VM Anda dari Microsoft Defender for Cloud

Dari Defender for Cloud, Anda dapat mengaktifkan dan mengonfigurasi akses JIT VM.

1. Buka dasbor proteksi beban kerja dan dari area perlindungan lanjutan, pilih Akses VM tepat waktu.

   Laman Akses VM tepat waktu terbuka dengan VM Anda yang dikelompokkan ke dalam tab berikut:

   • Dikonfigurasi - VM yang telah dikonfigurasi untuk mendukung akses VM tepat waktu. Untuk setiap VM, tab yang dikonfigurasi menampilkan:
     • jumlah permintaan JIT yang disetujui dalam tujuh hari terakhir
     • tanggal dan waktu akses terakhir
     • detail koneksi dikonfigurasi
     • pengguna terakhir
   • Tidak dikonfigurasi - VM tanpa JIT diaktifkan, tetapi dapat mendukung JIT. Kami sarankan Anda mengaktifkan JIT untuk VM ini.
   • Tidak didukung - VM tanpa JIT yang diaktifkan dan yang tidak mendukung fitur tersebut. VM Anda mungkin berada di tab ini karena alasan berikut:
     • Grup keamanan jaringan yang hilang (NSG) atau Azure Firewall - JIT memerlukan NSG untuk dikonfigurasi atau konfigurasi Firewall (atau keduanya)
     • VM klasik - JIT mendukung VM yang digunakan melalui Azure Resource Manager, bukan 'penerapan klasik'. Pelajari lebih lanjut tentang model penerapan klasik vs Azure Resource Manager.
     • Lainnya - VM Anda mungkin berada di tab ini jika solusi JIT dinonaktifkan dalam kebijakan keamanan langganan atau grup sumber daya.

2. Dari tab Tidak dikonfigurasi, tandai VM yang akan dilindungi dengan JIT dan pilih Aktifkan JIT pada VM.

   Halaman akses VM JIT terbuka mencantumkan port yang disarankan Defender for Cloud untuk dilindungi:

   • 22 - SSH
   • 3389 - RDP
   • 5985 - WinRM
   • 5986 - WinRM

   Untuk menerima setelan bawaan, pilih Simpan.

3. Untuk mengkustomisasi opsi JIT:

   • Tambahkan port ubahsuaian dengan tombol Tambahkan.
   • Ubah salah satu porta asali, dengan memilihnya dari daftar.

   Untuk setiap port (khusus dan default), panel Tambahkan konfigurasi port menawarkan opsi berikut:

   • Protokol- Protokol yang diizinkan pada port ini saat permintaan disetujui
   • IP sumber yang diizinkan- Rentang IP yang diizinkan pada port ini saat permintaan disetujui
   • Waktu permintaan maksimum- Jendela waktu maksimum selama port tertentu dapat dibuka

   1. Atur keamanan porta sesuai kebutuhan Anda.

   2. PilihOK.

4. Pilih Simpan.

Edit konfigurasi JIT pada VM berkemampuan JIT menggunakan Defender for Cloud

Anda dapat memodifikasi konfigurasi tepat waktu VM dengan menambahkan dan mengonfigurasi port baru untuk melindungi VM tersebut, atau dengan mengubah pengaturan lain yang terkait dengan port yang sudah dilindungi.

Untuk mengedit aturan JIT yang ada untuk VM:

1. Buka dasbor proteksi beban kerja dan dari area perlindungan lanjutan, pilih Akses VM tepat waktu.

2. Dari tab Dikonfigurasi, klik kanan pada VM yang ingin Anda tambahi porta, dan pilih edit.

   

3. Di bawah Konfigurasi akses JIT VM, Anda dapat mengedit setelan yang ada dari port yang sudah dilindungi atau menambahkan port kustom baru.

4. Setelah selesai mengedit port, pilih Simpan.

Komputer virtual Azure

Aktifkan JIT pada VM Anda dari komputer virtual Azure

Anda dapat mengaktifkan JIT pada VM dari halaman komputer virtual Portal Azure.

Tip

Jika tepat waktu VM sudah diaktifkan, saat Anda membuka halaman konfigurasinya, Anda akan melihat bahwa tepat waktu diaktifkan dan Anda dapat menggunakan tautan untuk membuka halaman akses VM tepat waktu di Defender for Cloud, dan melihat dan mengubah pengaturan.

1. Dari Portal Azure, telusuri dan pilih Komputer virtual.

2. Pilih komputer virtual yang ingin Anda lindungi dengan JIT.

3. Di menu, pilih Konfigurasi.

4. Di bawah Akses tepat waktu, pilih Aktifkan tepat waktu.

   Ini memungkinkan akses tepat waktu untuk VM menggunakan pengaturan default berikut:

   • Mesin Windows:
     • Port RDP 3389
     • Tiga jam akses maksimum yang diperbolehkan
     • Alamat IP sumber yang diperbolehkan disetel ke
   • Mesin Linux:
     • Port SSH 22
     • Tiga jam akses maksimum yang diperbolehkan
     • Alamat IP sumber yang diperbolehkan disetel ke

5. Untuk mengedit salah satu nilai ini, atau menambahkan lebih banyak port ke konfigurasi JIT Anda, gunakan halaman just-in-time Microsoft Defender for Cloud:

   1. Dari menu Defender for Cloud, pilih Akses VM JIT.

   2. Dari tab Dikonfigurasi, klik kanan pada VM yang ingin Anda tambahi porta, dan pilih edit.

      

   3. Di bawah Konfigurasi akses JIT VM, Anda dapat mengedit setelan yang ada dari port yang sudah dilindungi atau menambahkan port kustom baru.

   4. Setelah selesai mengedit port, pilih Simpan.

PowerShell

Mengaktifkan JIT pada VM Anda menggunakan PowerShell

Untuk mengaktifkan akses VM JIT dari PowerShell, gunakan cmdlet PowerShell Microsoft Defender for Cloud resmi Set-AzJitNetworkAccessPolicy.

Contoh - Aktifkan akses VM tepat waktu pada VM tertentu dengan aturan berikut:

• Tutup port 22 dan 3389
• Atur jendela waktu maksimum 3 jam untuk masing-masing sehingga dapat dibuka per permintaan yang disetujui
• Perbolehkan pengguna yang meminta akses untuk mengontrol alamat IP sumber
• Mengizinkan pengguna yang meminta akses untuk membuat sesi yang sukses berdasarkan permintaan akses tepat waktu yang disetujui

Perintah PowerShell berikut membuat konfigurasi JIT ini:

1. Tetapkan variabel yang memegang aturan akses VM tepat waktu untuk VM:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
   

2. Sisipkan aturan akses VM tepat waktu VM ke dalam array:

   $JitPolicyArr=@($JitPolicy)
   

3. Mengonfigurasi aturan akses VM tepat waktu pada VM yang dipilih:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   Gunakan parameter -Name untuk menentukan VM. Misalnya, untuk menetapkan konfigurasi JIT untuk dua VM yang berbeda, VM1 dan VM2, gunakan: Set-AzJitNetworkAccessPolicy -Name VM1 dan Set-AzJitNetworkAccessPolicy -Name VM2.

REST API

Aktifkan JIT pada VM Anda menggunakan REST API

Fitur akses VM just-in-time dapat digunakan melalui Microsoft Defender for Cloud API. Gunakan API ini untuk mendapatkan informasi tentang VM yang dikonfigurasi, menambahkan yang baru, meminta akses ke VM, dan lainnya.

Pelajari lebih lanjut di kebijakan akses jaringan JIT.

Meminta akses ke VM yang mendukung JIT

Anda dapat meminta akses ke VM yang mendukung JIT dari portal Microsoft Azure (di Defender for Cloud atau Komputer Virtual Azure) atau secara terprogram.

Masing-masing opsi ini dijelaskan dalam tab terpisah di bawah ini.

Microsoft Defender for Cloud

Meminta akses ke VM berkemampuan JIT dari Microsoft Defender for Cloud

Ketika VM mengaktifkan JIT, Anda harus meminta akses untuk menyambungkannya. Anda dapat meminta akses dengan salah satu cara yang didukung, terlepas dari bagaimana Anda mengaktifkan JIT.

1. Dari laman Akses VM tepat waktu, pilih tab Dikonfigurasi.

2. Tandai VM yang ingin Anda akses.

   • Ikon di kolom Detail Koneksi menunjukkan apakah JIT diaktifkan pada grup keamanan jaringan atau firewall. Jika diaktifkan pada keduanya, hanya ikon firewall yang muncul.

   • Kolom Detail Koneksi menyediakan informasi yang diperlukan untuk menghubungkan VM, dan port terbukanya.

3. Pilih Minta akses. Jendela Minta akses terbuka.

4. Di bawah Minta akses, untuk setiap VM, konfigurasikan port yang ingin Anda buka dan alamat IP sumber tempat port dibuka dan jendela waktu port akan dibuka. Hanya dimungkinkan untuk meminta akses ke port yang dikonfigurasi. Setiap port memiliki waktu maksimum yang diizinkan yang berasal dari konfigurasi JIT yang telah Anda buat.

5. Pilih Buka porta.

Catatan

Jika pengguna yang meminta akses berada di belakang proxy, opsi IP Saya mungkin tidak berfungsi. Anda mungkin perlu menentukan rentang alamat IP lengkap organisasi.

Komputer virtual Azure

Meminta akses ke VM yang mendukung JIT dari halaman terhubung komputer virtual Azure

Ketika VM mengaktifkan JIT, Anda harus meminta akses untuk menyambungkannya. Anda dapat meminta akses dengan salah satu cara yang didukung, terlepas dari bagaimana Anda mengaktifkan JIT.

Untuk meminta akses dari komputer virtual Azure:

1. Di portal Azure, buka halaman komputer virtual.

2. Pilih VM yang ingin Anda sambungkan, dan buka laman Hubungkan.

   Azure memeriksa apakah JIT diaktifkan pada VM tersebut.

   • Jika JIT tidak diaktifkan untuk VM, Anda akan diminta untuk mengaktifkannya.

   • Jika JIT diaktifkan, pilih Minta akses untuk meneruskan permintaan akses dengan IP yang meminta, rentang waktu, dan port yang dikonfigurasi untuk VM tersebut.

Catatan

Setelah permintaan disetujui untuk VM yang dilindungi oleh Azure Firewall, Defender for Cloud menyediakan pengguna detail koneksi yang tepat (pemetaan port dari tabel DNAT) agar digunakan untuk menyambungkan ke VM.

PowerShell

Meminta akses ke VM yang mendukung JIT menggunakan PowerShell

Dalam contoh berikut, Anda dapat melihat permintaan akses VM tepat waktu ke VM tertentu di mana port 22 diminta untuk dibuka untuk alamat IP tertentu dan untuk waktu tertentu:

Jalankan yang berikut ini di PowerShell:

1. Mengonfigurasi properti akses permintaan VM:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. Masukkan parameter permintaan akses VM dalam array:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. Kirim akses permintaan (gunakan ID sumber daya dari langkah 1)

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

Pelajari lebih lanjut di dokumentasi cmdlet PowerShell.

REST API

Meminta akses ke VM yang mendukung JIT menggunakan REST API

Fitur akses VM just-in-time dapat digunakan melalui Microsoft Defender for Cloud API. Gunakan API ini untuk mendapatkan informasi tentang VM yang dikonfigurasi, menambahkan yang baru, meminta akses ke VM, dan lainnya.

Pelajari lebih lanjut di kebijakan akses jaringan JIT.

Mengaudit aktivitas akses JIT di Defender for Cloud

Anda dapat memperoleh wawasan tentang aktivitas VM menggunakan pencarian log. Untuk melihat log:

1. Dari Akses VM tepat waktu, pilih tab Dikonfigurasi.

2. Untuk VM yang ingin Anda audit, buka menu elipsis di akhir baris.

3. Pilih Log Aktivitas dari menu.

   

   Log aktivitas menyediakan tampilan terfilter dari operasi sebelumnya untuk VM tersebut bersama dengan waktu, tanggal, dan langganan.

4. Untuk mengunduh informasi log, pilih Unduh sebagai CSV.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara untuk mengonfigurasi dan menggunakan akses VM just-in-time. Untuk mempelajari kenapa JIT harus digunakan, baca artikel konsep yang menjelaskan ancaman yang dipertahankannya terhadap:

Penjelasan JIT