Meer informatie over just-in-time-toegang (JIT) voor VM's

Een gebruiker in staat stellen het volgende te doen: Machtigingen om in te stellen
EEN JIT-beleid voor een VM configureren of bewerken Wijs deze acties toe aan de rol:
  • Voor het bereik van een abonnement of resourcegroep die is gekoppeld aan de VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • Voor het bereik van een abonnement of resourcegroep van de VM:
    Microsoft.Compute/virtualMachines/write
JIT-toegang tot een VM aanvragen Wijs deze acties toe aan de gebruiker:
  • Voor het bereik van een abonnement of resourcegroep die is gekoppeld aan de VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Voor het bereik van een abonnement of resourcegroep die is gekoppeld aan de VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • Voor het bereik van een abonnement, resourcegroep of VM:
    Microsoft.Compute/virtualMachines/read
  • Voor het bereik van een abonnement, resourcegroep of VM:
    Microsoft.Network/networkInterfaces/*/read
JIT-beleid lezen Wijs deze acties toe aan de gebruiker:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Security/pricings/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

Volgende stappen

Op deze pagina wordt uitgelegd waarom jit-VM-toegang (Just-In-Time) moet worden gebruikt. Zie de volgende informatie voor meer informatie over het inschakelen van JIT en het aanvragen van toegang tot uw VM's met JIT::

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage. Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Op deze pagina worden de principes uitgelegd achter de JIT-toegangsfunctie (Just-In-Time) van Microsoft Defender for Cloud en de logica achter de aanbeveling.

Zie Uw beheerpoorten beveiligen met JIT voor meer informatie over het toepassen van JIT op uw VM's met behulp van de Azure Portal (Defender for Cloud of Azure Virtual Machines) of programmatisch.

Het risico van open beheerpoorten op een virtuele machine

Bedreigingen zoeken actief naar toegankelijke machines met open beheerpoorten, zoals RDP of SSH. Al uw virtuele machines zijn potentiƫle doelen voor een aanval. Wanneer het lukt een VM aan te tasten, wordt deze gebruikt als ingangspunt om verdere resources in uw omgeving aan te vallen.

Waarom JIT VM-toegang de oplossing is

Net als bij alle technieken voor cyberbeveiligingspreventie moet u het aanvalsoppervlak verminderen. In dit geval betekent dit dat er minder open poorten zijn, met name beheerpoorten.

Uw legitieme gebruikers gebruiken deze poorten ook, dus het is niet praktisch om ze gesloten te houden.

Microsoft Defender for Cloud biedt JIT om dit probleem op te lossen. Met JIT kunt u het inkomende verkeer naar uw VM's vergrendelen, waardoor de blootstelling aan aanvallen wordt verkleind en tegelijkertijd eenvoudig toegang biedt om verbinding te maken met VM's wanneer dat nodig is.

Hoe JIT werkt met netwerkbeveiligingsgroepen en Azure Firewall

Wanneer u Just-In-Time-VM-toegang inschakelen, kunt u de poorten selecteren op de VM waarop het inkomende verkeer wordt geblokkeerd. Defender for Cloud zorgt ervoor dat er regels voor 'al het binnenkomende verkeer weigeren'bestaan voor de geselecteerde poorten in de netwerkbeveiligingsgroep (NSG) en Azure Firewall regels. Deze regels beperken de toegang tot de beheerpoorten van uw Azure-VM's en beschermen deze tegen aanvallen.

Als er al andere regels voor de geselecteerde poorten bestaan, hebben die bestaande regels voorrang op de nieuwe regels voor al het binnenkomende verkeer weigeren. Als er geen bestaande regels op de geselecteerde poorten zijn, hebben de nieuwe regels de hoogste prioriteit in de NSG en Azure Firewall.

Wanneer een gebruiker toegang tot een VM aanvraagt, controleert Defender for Cloud of de gebruiker op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor die VM heeft. Als de aanvraag is goedgekeurd, configureert Defender for Cloud de NSG's en Azure Firewall zodanig dat binnenkomende verkeer naar de geselecteerde poorten vanaf het relevante IP-adres (of bereik) wordt toegestaan voor de opgegeven tijd. Nadat de tijd is verstreken, herstelt Defender for Cloud de NSG's naar hun vorige staat. Verbindingen die al tot stand zijn gebracht, worden niet onderbroken.

Notitie

JIT biedt geen ondersteuning voor VM's die worden beveiligd door Azure Firewalls die worden beheerd door Azure Firewall Manager. De Azure Firewall moeten worden geconfigureerd met regels (klassiek) en kunnen geen firewallbeleid gebruiken.

Hoe Defender for Cloud identificeert op welke VM's JIT moet worden toegepast

In het onderstaande diagram ziet u de logica die Door Defender for Cloud wordt toegepast bij het bepalen hoe u uw ondersteunde VM's wilt categoriseren:

Just-in-time (JIT) virtual machine (VM) logic flow.

Wanneer Defender for Cloud een computer vindt die kan profiteren van JIT, wordt die machine toegevoegd aan het tabblad Slechte resources van de aanbeveling.

Just-in-time (JIT) virtual machine (VM) access recommendation.

Veelgestelde vragen - Just-In-Time-toegang tot virtuele machines

Welke machtigingen zijn nodig om JIT te configureren en te gebruiken?

JIT vereist dat Microsoft Defender voor servers is ingeschakeld voor het abonnement.

De rollen Lezer en SecurityReader kunnen zowel de JIT-status als de parameters weergeven.

Als u aangepaste rollen wilt maken die met JIT kunnen werken, hebt u de details uit de onderstaande tabel nodig.

Tip

Als u een rol met de minste bevoegdheden wilt maken voor gebruikers die JIT-toegang tot een VM moeten aanvragen en geen andere JIT-bewerkingen moeten uitvoeren, gebruikt u het script Set-JitLeastPrivilegedRole van de Defender for Cloud GitHub-communitypagina's.