Just-In-Time 管理を構成する
Contoso のセキュリティ担当者は、自社のすべての VM が、セキュリティ上の弱点を積極的に探している悪意のあるハッカーのリスクにさらされていることを知っています。 このような人物は、RDP や SSH などの開いているポートを検索します。 Azure Bastion を使用すると、このようなリスクを軽減できますが、担当者は、Azure で実行できる他の軽減策について詳しく知りたいと考えています。 あなたは、Security Center の JIT VM アクセス機能を調査することにしました。 JIT を使用すると、VM への受信トラフィックをロック ダウンできます。これにより、必要なときに VM に接続する機能を提供しながら、攻撃への露出を減らすことができます。
JIT 管理のしくみ
Security Center を使用して VM の JIT を有効にします。 次に、VM 上の受信通信に対してセキュリティで保護するネットワーク ポートを定義できます。 Security Center により、NSG と Azure Firewall 規則を使用して、選択したポートに "すべての受信トラフィックを拒否する" 規則が適用されます。 これらの要素を組み合わせ、管理ポートをスクリーニングすることで VM を保護できます。
管理者が保護された VM 上で管理タスクを実行する必要がある場合、Security Center により、ユーザーがその VM に必要なロールベースのアクセス制御 (RBAC) アクセス許可を持っていることが検証され、要求が承認され、NSG と Azure Firewall が再構成されます。 これらの変更により、指定された期間、関連する IP アドレスから選択されたポートへの受信トラフィックが許可されます。
Security Center によって、VM を分類する方法を決めるフロー ロジックが適用されます。 Security Center により、以下が確認され、デバイスは正常と分類されます。
- VM で JIT アクセスが既に有効な場合
- ポート 22、3389、5985、および 5986 に対する許可規則がない NSG に VM が割り当てられている場合
- ポート 22、3389、5985、および 5986 に対する許可規則がないファイアウォールによって VM が保護されている場合
VM で JIT がまだ有効ではなく、NSG に割り当てられておらず、ファイアウォールによって保護もされていない場合、Security Center により VM は該当なしとして分類されます。 それ以外の場合、Security Center により、VM の JIT を有効にすることが推奨されます。
このフロー プロセスを次の図に示します。
Security Center によってこのロジックが使用され、 VM が JIT の恩恵を受ける可能性があると判断されることがあります。 この判断の結果、Security Center の [推奨事項] ブレードの [仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があります] で [正常でないリソース] タブに VM が移動されます。
ヒント
Security Center でこの情報にアクセスするには、[リソース セキュリティの検疫] セクションの [計算とアプリ] リンクを選択します。 次に、[仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある] を選択します。
VM 上で JIT を有効にする
JIT は Security Center 内から有効にすることができます。 次の手順に従います。
[異常なリソース] タブに表示されている VM の一覧から、JIT に対して有効にするものを選択し、[修復] を選択します。
[JIT VM アクセスの構成] ブレードで、一覧にある各ポートについて次の手順を実行します。
- 次のいずれかのポートを使用して、ポートを選択して構成します。
- 22
- 3389
- 5985
- 5986
- プロトコル番号であるプロトコルの [ポート] を構成します。
- [プロトコル] を構成します。
- Any
- TCP
- UDP
- 次のいずれかを選択して、[許可されているソース IP] を構成します。
- 要求ごと
- クラスレス ドメイン間ルーティング (CIDR) ブロック
- [最大要求時間] を選択します。 既定の期間は 3 時間です。
- 次のいずれかのポートを使用して、ポートを選択して構成します。
変更した場合は、[OK] を選択します。
すべてのポートの構成が完了したら、[保存] を選択します。
または、Azure portal で VM に移動することもできます。 選択した VM の [仮想マシン] ブレードで、ナビゲーション ペインの [セキュリティ] と、[仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があります] のリンクの両方を選択します。
JIT で保護された VM へのアクセスを要求する
JIT で保護されていない VM に接続しようとすると、[接続] ブレードに警告が表示されます。
ヒント
この警告リンクを選択して、JIT を有効にすることができます。
ただし、VM に対して JIT が有効になっていて、VM に接続しようとした場合、Azure により、アクセスを要求するように指示されます。 これを行うには、[アクセス権の要求] を選択します。
[アクセス権の要求] を選択した後、関連するアクセス許可を得たと仮定して、Security Center によってアクセスが有効にされるまでに最大 1 分かかります。 アクセス権が付与されると、目的のポートを介してアクセスしたことを示すメッセージが表示されます。
[試用版]
VM に JIT を設定してみたい場合は、「演習 - JIT VM アクセスを有効にする」を試すことができます。 これを使用するには、Azure サブスクリプションが必要です。 お持ちでない場合は、無料試用版の Azure サブスクリプションを取得できます。 この演習を完了したら、作成したリソース グループをすべて削除します。
Note
Security Center の Standard レベルに登録されているサブスクリプション、または Security Center のアクティブな 30 日間の試用版があるサブスクリプションを選択します。