Beheerpoorten beveiligen met just-in-time-toegang

  • Artikel
  • 10 minuten om te lezen

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Vergrendel het binnenkomende verkeer naar uw Azure-Virtual Machines met de jit-toegangsfunctie (Jit) van Microsoft Defender for Cloud voor virtuele machines (VM's). Dit vermindert de blootstelling aan aanvallen en biedt tegelijkertijd eenvoudige toegang wanneer u verbinding moet maken met een VM.

Zie Just-in-time-uitlegvoor een volledige uitleg over de manier waarop JIT werkt en de onderliggende logica.

Op deze pagina leert u hoe u JIT kunt opnemen in uw beveiligingsprogramma. U leert het volgende:

  • JIT inschakelen op uw VM's: u kunt JIT inschakelen met uw eigen aangepaste opties voor een of meer VM's met behulp van Defender for Cloud, PowerShell of de REST API. U kunt JIT ook inschakelen met standaardparameters in code van virtuele Azure-machines. Wanneer jit is ingeschakeld, wordt het inkomende verkeer naar uw Azure-VM's vergrendeld door een regel in uw netwerkbeveiligingsgroep te maken.
  • Toegang aanvragen tot een VM waarop JIT is ingeschakeld: het doel van JIT is ervoor te zorgen dat Defender for Cloud nog steeds eenvoudig toegang biedt om verbinding te maken met VM's wanneer dat nodig is, zelfs als het binnenkomende verkeer is vergrendeld. U kunt toegang aanvragen tot een VM met JIT-ondersteuning van Defender for Cloud, virtuele Azure-machines, PowerShell of de REST API.
  • De activiteit controleren: om ervoor te zorgen dat uw VM's op de juiste wijze worden beveiligd, controleert u de toegang tot uw VM's met JIT-beveiliging als onderdeel van uw normale beveiligingscontroles.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Vereist Microsoft Defender voor servers
Ondersteunde VM's: VM's die zijn geïmplementeerd via Azure Resource Manager.
VM's die zijn geïmplementeerd met klassieke implementatiemodellen. Meer informatie over deze implementatiemodellen.
VM's die worden beveiligd door Azure Firewalls die worden beheerd door Azure Firewall Manager
Vereiste rollen en machtigingen: De rollen Lezer en SecurityReader kunnen zowel de JIT-status als de parameters weergeven.
Zie Welke machtigingen zijn nodig voor het configureren en gebruiken van JIT? om aangepaste rollen te maken die met JIT kunnen werken.
Als u een minst bevoorrechte rol wilt maken voor gebruikers die JIT-toegang tot een VM moeten aanvragen en geen andere JIT-bewerkingen moeten uitvoeren, gebruikt u het script Set-JitLeastPrivilegedRole op de communitypagina's van Defender for Cloud GitHub.
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

JIT VM-toegang inschakelen

U kunt JIT VM-toegang inschakelen met uw eigen aangepaste opties voor een of meer VM's met behulp van Defender for Cloud of programmatisch.

U kunt JIT ook inschakelen met standaardparameters in code, van virtuele Azure-machines.

Elk van deze opties wordt uitgelegd op een afzonderlijk tabblad hieronder.

JIT inschakelen op uw VM's vanuit Microsoft Defender for Cloud

JIT VM-toegang configureren in Microsoft Defender for Cloud.

Vanuit Defender for Cloud kunt u de JIT-VM-toegang inschakelen en configureren.

  1. Open het dashboard Workloadbeveiligingen en selecteer Just-In-Time-VM-toegang in het gebied voor geavanceerde beveiliging.

    De pagina Just-In-Time-VM-toegang wordt geopend met uw VM's gegroepeerd op de volgende tabbladen:

    • Geconfigureerd: VM's die al zijn geconfigureerd om Just-In-Time-VM-toegang te ondersteunen. Op het geconfigureerde tabblad voor elke VM ziet u het volgende:
      • het aantal goedgekeurde JIT-aanvragen in de afgelopen zeven dagen
      • de datum en tijd van de laatste toegang
      • de geconfigureerde verbindingsgegevens
      • de laatste gebruiker
    • Niet geconfigureerd: VM's zonder JIT ingeschakeld, maar die JIT wel kunnen ondersteunen. U wordt aangeraden JIT in teschakelen voor deze VM's.
    • Niet ondersteund: VM's waarvoor JIT niet is ingeschakeld en die de functie niet ondersteunen. Uw VM staat mogelijk op dit tabblad om de volgende redenen:
      • Ontbrekende netwerkbeveiligingsgroep (NSG) of Azure Firewall: JIT vereist dat een NSG of een firewallconfiguratie (of beide) wordt geconfigureerd
      • Klassieke VM: JIT ondersteunt VM's die zijn geïmplementeerd via Azure Resource Manager, niet 'klassieke implementatie'. Meer informatie over klassieke versus Azure Resource Manager implementatiemodellen.
      • Overig: uw VM staat mogelijk op dit tabblad als de JIT-oplossing is uitgeschakeld in het beveiligingsbeleid van het abonnement of de resourcegroep.

  2. Markeer op het tabblad Niet geconfigureerd de VM's die u wilt beveiligen met JIT en selecteer JIT inschakelen op VM's.

    De jit-VM-toegangspagina wordt geopend met de poorten die Defender for Cloud aanbeveelt te beveiligen:

    • 22 - SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    Selecteer Opslaan om de standaardinstellingen te accepteren.

  3. De JIT-opties aanpassen:

    • Voeg aangepaste poorten toe met de knop Toevoegen.
    • Wijzig een van de standaardpoorten door deze te selecteren in de lijst.

    Voor elke poort (aangepast en standaard) biedt het deelvenster Poortconfiguratie toevoegen de volgende opties:

    • Protocol: het protocol dat is toegestaan op deze poort wanneer een aanvraag wordt goedgekeurd
    • Toegestane bron-IP-adressen: de IP-adresbereiken die zijn toegestaan op deze poort wanneer een aanvraag wordt goedgekeurd
    • Maximale aanvraagtijd: het maximale tijdvenster waarin een specifieke poort kan worden geopend

    1. Stel de poortbeveiliging in op uw behoeften.

    2. Selecteer OK.

  4. Selecteer Opslaan.

De JIT-configuratie op een VM met JIT-functie bewerken met Defender for Cloud

U kunt de Just-In-Time-configuratie van een VM wijzigen door een nieuwe poort toe te voegen en te configureren om deze VM te beveiligen of door een andere instelling te wijzigen die betrekking heeft op een al beveiligde poort.

De bestaande JIT-regels voor een VM bewerken:

  1. Open het dashboard Workloadbeveiligingen en selecteer Just-In-Time-VM-toegang in het gebied voor geavanceerde beveiliging.

  2. Klik op het tabblad Geconfigureerd met de rechtermuisknop op de VM waaraan u een poort wilt toevoegen en selecteer Bewerken.

    Een JIT VM-toegangsconfiguratie bewerken in Microsoft Defender for Cloud.

  3. Onder JIT VM-toegangsconfiguratie kunt u de bestaande instellingen van een al beveiligde poort bewerken of een nieuwe aangepaste poort toevoegen.

  4. Wanneer u klaar bent met het bewerken van de poorten, selecteert u Opslaan.

Toegang aanvragen tot een virtuele machine met JIT-functionaliteit

U kunt toegang aanvragen tot een VM met JIT-ondersteuning vanuit de Azure Portal (in Defender for Cloud of Azure Virtual Machines) of programmatisch.

Elk van deze opties wordt uitgelegd op een afzonderlijk tabblad hieronder.

Toegang aanvragen tot een VM met JIT-ondersteuning van Microsoft Defender for Cloud

Wanneer een VM een JIT heeft ingeschakeld, moet u toegang aanvragen om er verbinding mee te maken. U kunt toegang aanvragen op een van de ondersteunde manieren, ongeacht hoe u JIT hebt ingeschakeld.

JIT-toegang aanvragen bij Defender for Cloud.

  1. Selecteer op de pagina Just-In-Time-VM-toegang het tabblad Geconfigureerd.

  2. Markeer de VM's die u wilt openen.

    • Het pictogram in de kolom Verbindingsdetails geeft aan of JIT is ingeschakeld voor de netwerkbeveiligingsgroep of firewall. Als beide zijn ingeschakeld, wordt alleen het firewallpictogram weergegeven.

    • De kolom Verbindingsdetails bevat de informatie die nodig is om verbinding te maken met de VM en de geopende poorten.

  3. Selecteer Toegang aanvragen. Het venster Toegang aanvragen wordt geopend.

  4. Configureer onder Toegang aanvragen voor elke VM de poorten die u wilt openen en de bron-IP-adressen waarop de poort wordt geopend en het tijdvenster waarvoor de poort wordt geopend. Het is alleen mogelijk om toegang aan te vragen tot de geconfigureerde poorten. Elke poort heeft een maximaal toegestane tijd die is afgeleid van de JIT-configuratie die u hebt gemaakt.

  5. Selecteer Poorten openen.

Notitie

Als een gebruiker die toegang aanvraagt zich achter een proxy, werkt de optie Mijn IP-adres mogelijk niet. Mogelijk moet u het volledige IP-adresbereik van de organisatie definiëren.

JIT-toegangsactiviteit controleren in Defender for Cloud

U kunt inzicht krijgen in VM-activiteiten met behulp van zoeken in logboeken. De logboeken weergeven:

  1. Selecteer in Just-In-Time-VM-toegang het tabblad Geconfigureerd.

  2. Voor de VM die u wilt controleren, opent u het menu met het beletselteken aan het einde van de rij.

  3. Selecteer Activiteitenlogboek in het menu.

    Selecteer Just-In-Time JIT-activiteitenlogboek.

    Het activiteitenlogboek biedt een gefilterde weergave van eerdere bewerkingen voor die VM, samen met tijd, datum en abonnement.

  4. Als u de logboekgegevens wilt downloaden, selecteert u Downloaden als CSV.

Volgende stappen

In dit artikel hebt u geleerd hoe u Just-In-Time-VM-toegang kunt configureren en gebruiken. Als u wilt weten waarom JIT moet worden gebruikt, leest u het conceptartikel waarin de bedreigingen worden uitgelegd die worden voorkomen:

JIT uitgelegd