Just-In-Time 管理を構成する

  • 8 分

Contoso のセキュリティ担当者は、自社のすべての VM が、セキュリティ上の弱点を積極的に探している悪意のあるハッカーのリスクにさらされていることを知っています。 このような人物は、RDP や SSH などの開いているポートを検索します。 Azure Bastion を使用すると、このようなリスクを軽減できますが、担当者は、Azure で実行できる他の軽減策について詳しく知りたいと考えています。 あなたは、Security Center の JIT VM アクセス機能を調査することにしました。 JIT を使用すると、VM への受信トラフィックをロック ダウンできます。これにより、必要なときに VM に接続する機能を提供しながら、攻撃への露出を減らすことができます。

JIT 管理のしくみ

Security Center を使用して VM の JIT を有効にします。 次に、VM 上の受信通信に対してセキュリティで保護するネットワーク ポートを定義できます。 Security Center により、NSG と Azure Firewall 規則を使用して、選択したポートに "すべての受信トラフィックを拒否する" 規則が適用されます。 これらの要素を組み合わせ、管理ポートをスクリーニングすることで VM を保護できます。

管理者が保護された VM 上で管理タスクを実行する必要がある場合、Security Center により、ユーザーがその VM に必要なロールベースのアクセス制御 (RBAC) アクセス許可を持っていることが検証され、要求が承認され、NSG と Azure Firewall が再構成されます。 これらの変更により、指定された期間、関連する IP アドレスから選択されたポートへの受信トラフィックが許可されます。

Security Center によって、VM を分類する方法を決めるフロー ロジックが適用されます。 Security Center により、以下が確認され、デバイスは正常と分類されます。

  • VM で JIT アクセスが既に有効な場合
  • ポート 22、3389、5985、および 5986 に対する許可規則がない NSG に VM が割り当てられている場合
  • ポート 22、3389、5985、および 5986 に対する許可規則がないファイアウォールによって VM が保護されている場合

VM で JIT がまだ有効ではなく、NSG に割り当てられておらず、ファイアウォールによって保護もされていない場合、Security Center により VM は該当なしとして分類されます。 それ以外の場合、Security Center により、VM の JIT を有効にすることが推奨されます。

このフロー プロセスを次の図に示します。

A diagram that displays the flow logic of the Security Center when determining recommendations for the application of JIT to VMs.

Security Center によってこのロジックが使用され、 VM が JIT の恩恵を受ける可能性があると判断されることがあります。 この判断の結果、Security Center の [推奨事項] ブレードの [仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があります][正常でないリソース] タブに VM が移動されます。

A screenshot of the Unhealthy resources tab on the Management ports of virtual machines should be protected with just-in-time network access control blade. Four VMs are listed.

ヒント

Security Center でこの情報にアクセスするには、[リソース セキュリティの検疫] セクションの [計算とアプリ] リンクを選択します。 次に、[仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある] を選択します。

VM 上で JIT を有効にする

JIT は Security Center 内から有効にすることができます。 次の手順に従います。

  1. [異常なリソース] タブに表示されている VM の一覧から、JIT に対して有効にするものを選択し、[修復] を選択します。

    A screenshot of the JIT VM access configuration blade in the Azure portal. The administrator is configuring the ContosoVM4 VM.

  2. [JIT VM アクセスの構成] ブレードで、一覧にある各ポートについて次の手順を実行します。

    1. 次のいずれかのポートを使用して、ポートを選択して構成します。
      • 22
      • 3389
      • 5985
      • 5986
    2. プロトコル番号であるプロトコルの [ポート] を構成します。
    3. [プロトコル] を構成します。
      • Any
      • TCP
      • UDP
    4. 次のいずれかを選択して、[許可されているソース IP] を構成します。
      • 要求ごと
      • クラスレス ドメイン間ルーティング (CIDR) ブロック
    5. [最大要求時間] を選択します。 既定の期間は 3 時間です。

    A screenshot of the Add port configuration blade for Port 3389. Default values are displayed.

  3. 変更した場合は、[OK] を選択します。

  4. すべてのポートの構成が完了したら、[保存] を選択します。

または、Azure portal で VM に移動することもできます。 選択した VM の [仮想マシン] ブレードで、ナビゲーション ペインの [セキュリティ] と、[仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があります] のリンクの両方を選択します。

JIT で保護された VM へのアクセスを要求する

JIT で保護されていない VM に接続しようとすると、[接続] ブレードに警告が表示されます。

A screenshot of the warning message for VMs not protected with JIT.

ヒント

この警告リンクを選択して、JIT を有効にすることができます。

ただし、VM に対して JIT が有効になっていて、VM に接続しようとした場合、Azure により、アクセスを要求するように指示されます。 これを行うには、[アクセス権の要求] を選択します。

A screenshot of the Connect blade for a the ContosoVM4 VM that has JIT enabled. The administrator is prompted to select Request access.

[アクセス権の要求] を選択した後、関連するアクセス許可を得たと仮定して、Security Center によってアクセスが有効にされるまでに最大 1 分かかります。 アクセス権が付与されると、目的のポートを介してアクセスしたことを示すメッセージが表示されます。

A screenshot of the Connect blade for an VM called ContosoVM4 that has JIT enabled. Access is granted using JIT.

[試用版]

VM に JIT を設定してみたい場合は、「演習 - JIT VM アクセスを有効にする」を試すことができます。 これを使用するには、Azure サブスクリプションが必要です。 お持ちでない場合は、無料試用版の Azure サブスクリプションを取得できます。 この演習を完了したら、作成したリソース グループをすべて削除します。

Note

Security Center の Standard レベルに登録されているサブスクリプション、または Security Center のアクティブな 30 日間の試用版があるサブスクリプションを選択します。