Beheerpoorten beveiligen met just-in-time-toegangSecure your management ports with just-in-time access

Vergrendel inkomend verkeer naar uw Azure-Virtual Machines met Azure Security Center de VM-toegangs functie (just-in-time) van de virtuele machine.Lock down inbound traffic to your Azure Virtual Machines with Azure Security Center's just-in-time (JIT) virtual machine (VM) access feature. Dit vermindert het risico op aanvallen en biedt eenvoudige toegang wanneer u verbinding moet maken met een virtuele machine.This reduces exposure to attacks while providing easy access when you need to connect to a VM.

Zie just-in-time wordt uitgelegdvoor een volledige uitleg over de werking van JIT en de onderliggende logica.For a full explanation about how JIT works and the underlying logic, see Just-in-time explained.

Op deze pagina leert u hoe u JIT kunt toevoegen in uw beveiligings programma.This page teaches you how to include JIT in your security program. U leert het volgende:You'll learn how to:

  • JIT inschakelen op uw vm's : u kunt JIT inschakelen met uw eigen aangepaste opties voor een of meer virtuele machines met behulp van Security Center, Power shell of de rest API.Enable JIT on your VMs - You can enable JIT with your own custom options for one or more VMs using Security Center, PowerShell, or the REST API. U kunt ook JIT inschakelen met standaard, hardcoded para meters van Azure virtual machines.Alternatively, you can enable JIT with default, hard-coded parameters, from Azure virtual machines. Als deze functie is ingeschakeld, wordt binnenkomend verkeer naar uw virtuele Azure-machines vergrendeld door een regel in uw netwerk beveiligings groep te maken.When enabled, JIT locks down inbound traffic to your Azure VMs by creating a rule in your network security group.
  • Vraag toegang aan tot een virtuele machine waarvoor JIT is ingeschakeld . het doel van JIT is om ervoor te zorgen dat zelfs al het inkomende verkeer wordt vergrendeld, Security Center nog steeds eenvoudig toegang biedt tot vm's wanneer dat nodig is.Request access to a VM that has JIT enabled - The goal of JIT is to ensure that even though your inbound traffic is locked down, Security Center still provides easy access to connect to VMs when needed. U kunt via Security Center, Azure virtual machines, Power shell of de REST API toegang aanvragen tot een virtuele machine met JIT-functionaliteit.You can request access to a JIT-enabled VM from Security Center, Azure virtual machines, PowerShell, or the REST API.
  • De activiteit controleren : om ervoor te zorgen dat uw virtuele machines op de juiste wijze worden beveiligd, controleert u de toegang tot uw met JIT ingeschakelde vm's als onderdeel van uw reguliere beveiligings controles.Audit the activity - To ensure your VMs are secured appropriately, review the accesses to your JIT-enabled VMs as part of your regular security checks.

BeschikbaarheidAvailability

AspectAspect DetailsDetails
Releasestatus:Release state: Algemeen verkrijgbaar (GA)Generally available (GA)
Prijzen:Pricing: Azure Defender voor servers is vereistRequires Azure Defender for servers
Ondersteunde Vm's:Supported VMs: Ja virtuele machines die via Azure Resource Manager worden geïmplementeerd.Yes VMs deployed through Azure Resource Manager.
Er zijn geen vm's geïmplementeerd met klassieke implementatie modellen.No VMs deployed with classic deployment models. Meer informatie over deze implementatie modellen.Learn more about these deployment models.
Geen vm's die worden beveiligd door Azure-firewalls die worden beheerd door Azure firewall ManagerNo VMs protected by Azure Firewalls controlled by Azure Firewall Manager
Vereiste rollen en machtigingen:Required roles and permissions: Met de rollen lezer en SECURITYREADER kunnen de JIT-status en-para meters worden weer gegeven.Reader and SecurityReader roles can both view the JIT status and parameters.
Als u aangepaste rollen wilt maken die met JIT kunnen werken, raadpleegt u de machtigingen die nodig zijn voor het configureren en gebruiken van JIT?.To create custom roles that can work with JIT, see What permissions are needed to configure and use JIT?.
Gebruik het script set-JitLeastPrivilegedRole op de pagina's van de Security Center github-Community om een rol met een beperkte bevoegdheid te maken voor gebruikers die JIT-toegang moeten aanvragen voor een virtuele machine en geen andere JIT-bewerkingen kunnen uitvoeren.To create a least-privileged role for users that need to request JIT access to a VM, and perform no other JIT operations, use the Set-JitLeastPrivilegedRole script from the Security Center GitHub community pages.
Clouds:Clouds: Ja Commerciële cloudsCommercial clouds
Ja Nationaal/onafhankelijk (Overheid van de VS, China, andere overheden)National/Sovereign (US Gov, China Gov, Other Gov)

JIT-VM-toegang inschakelen Enable JIT VM access

U kunt JIT-VM-toegang inschakelen met uw eigen aangepaste opties voor een of meer virtuele machines met Security Center of via een programma.You can enable JIT VM access with your own custom options for one or more VMs using Security Center or programmatically.

U kunt ook JIT inschakelen met standaard, hardcoded para meters van Azure virtual machines.Alternatively, you can enable JIT with default, hard-coded parameters, from Azure Virtual machines.

Elk van deze opties wordt in een afzonderlijk tabblad hieronder uitgelegd.Each of these options is explained in a separate tab below.

Activeer JIT op uw Vm's van Azure Security Center Enable JIT on your VMs from Azure Security Center

JIT-VM-toegang configureren in Azure Security Center

Vanuit Security Center kunt u de JIT-VM-toegang inschakelen en configureren.From Security Center, you can enable and configure the JIT VM access.

  1. Open het dash board van Azure Defender en selecteer in het gebied geavanceerde beveiliging just-in-time-VM-toegang.Open the Azure Defender dashboard and from the advanced protection area, select Just-in-time VM access.

    De just-in-time-VM-toegangs pagina wordt geopend met de vm's die zijn gegroepeerd op de volgende tabbladen:The Just-in-time VM access page opens with your VMs grouped into the following tabs:

    • Geconfigureerd : vm's die al zijn geconfigureerd voor ondersteuning van just-in-time-VM-toegang.Configured - VMs that have been already been configured to support just-in-time VM access. Voor elke VM wordt het tabblad geconfigureerd weer gegeven:For each VM, the configured tab shows:
      • het aantal goedgekeurde JIT-aanvragen in de afgelopen zeven dagenthe number of approved JIT requests in the last seven days
      • de datum en tijd van de laatste toegangthe last access date and time
      • de verbindings gegevens zijn geconfigureerdthe connection details configured
      • de laatste gebruikerthe last user
    • Niet geconfigureerd : VM'S waarvoor JIT is ingeschakeld, maar die JIT kan ondersteunen.Not configured - VMs without JIT enabled, but that can support JIT. U wordt aangeraden JIT in te scha kelen voor deze Vm's.We recommend that you enable JIT for these VMs.
    • Niet-ondersteunde VM'S waarvoor JIT is ingeschakeld en die de functie niet ondersteunen.Unsupported - VMs without JIT enabled and which don't support the feature. Uw virtuele machine kan om de volgende redenen op dit tabblad staan:Your VM might be in this tab for the following reasons:
      • Ontbrekende netwerk beveiligings groep (NSG): voor JIT moet een NSG worden geconfigureerdMissing network security group (NSG) - JIT requires an NSG to be configured
      • Klassieke VM-JIT ondersteunt Vm's die zijn geïmplementeerd via Azure Resource Manager, niet ' klassieke implementatie '.Classic VM - JIT supports VMs that are deployed through Azure Resource Manager, not 'classic deployment'. Meer informatie over klassieke en Azure Resource Manager implementatie modellen.Learn more about classic vs Azure Resource Manager deployment models.
      • Andere-uw virtuele machine kan zich op dit tabblad bevindt als de JIT-oplossing is uitgeschakeld in het beveiligings beleid van het abonnement of de resource groep.Other - Your VM might be in this tab if the JIT solution is disabled in the security policy of the subscription or the resource group.
  2. Markeer op het tabblad niet geconfigureerd de vm's die moeten worden beveiligd met JIT en selecteer JIT inschakelen op vm's.From the Not configured tab, mark the VMs to protect with JIT and select Enable JIT on VMs.

    De pagina JIT-VM-toegang wordt geopend met een lijst met poorten die Security Center te beveiligen:The JIT VM access page opens listing the ports that Security Center recommends protecting:

    • 22-SSH22 - SSH
    • 3389-RDP3389 - RDP
    • 5985-WinRM5985 - WinRM
    • 5986-WinRM5986 - WinRM

    Selecteer Opslaan om de standaard instellingen te accepteren.To accept the default settings, select Save.

  3. De JIT-opties aanpassen:To customize the JIT options:

    • Voeg aangepaste poorten toe met de knop toevoegen .Add custom ports with the Add button.
    • Wijzig een van de standaard poorten door deze te selecteren in de lijst.Modify one of the default ports, by selecting it from the list.

    Voor elke poort (aangepast en standaard) wordt in het deel venster poort configuratie toevoegen de volgende opties geboden:For each port (custom and default) the Add port configuration pane offers the following options:

    • Protocol-het protocol dat is toegestaan op deze poort wanneer een aanvraag wordt goedgekeurdProtocol- The protocol that is allowed on this port when a request is approved
    • Toegestane bron-ip's-de IP-bereiken die op deze poort zijn toegestaan wanneer een aanvraag wordt goedgekeurdAllowed source IPs- The IP ranges that are allowed on this port when a request is approved
    • Maximale aanvraag tijd: de maximale tijd van het venster voor het openen van een specifieke poortMaximum request time- The maximum time window during which a specific port can be opened
    1. Stel de poort beveiliging in op uw behoeften.Set the port security to your needs.

    2. Selecteer OK.Select OK.

  4. Selecteer Opslaan.Select Save.

De JIT-configuratie op een met JIT ingeschakelde VM bewerken met Security Center Edit the JIT configuration on a JIT-enabled VM using Security Center

U kunt de just-in-time-configuratie van een virtuele machine wijzigen door een nieuwe poort toe te voegen en te configureren voor de beveiliging van die virtuele machine of door een andere instelling te wijzigen die betrekking heeft op een reeds beveiligde poort.You can modify a VM's just-in-time configuration by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

De bestaande JIT-regels voor een virtuele machine bewerken:To edit the existing JIT rules for a VM:

  1. Open het dash board van Azure Defender en selecteer in het gebied geavanceerde beveiliging de optie adaptieve toepassings besturings elementen.Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

  2. Klik op het tabblad geconfigureerd met de rechter muisknop op de virtuele machine waaraan u een poort wilt toevoegen en selecteer Bewerken.From the Configured tab, right-click on the VM to which you want to add a port, and select edit.

    Een JIT-VM-toegangs configuratie in Azure Security Center bewerken

  3. Onder JIT VM-toegangs configuratie kunt u de bestaande instellingen van een reeds beveiligde poort bewerken of een nieuwe aangepaste poort toevoegen.Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port.

  4. Wanneer u klaar bent met het bewerken van de poorten, selecteert u Opslaan.When you've finished editing the ports, select Save.

Toegang aanvragen tot een virtuele machine met JIT-functionaliteitRequest access to a JIT-enabled VM

U kunt via de Azure Portal (in Security Center of virtuele machines van Azure) toegang aanvragen tot een virtuele machine met JIT-functionaliteit.You can request access to a JIT-enabled VM from the Azure portal (in Security Center or Azure Virtual machines) or programmatically.

Elk van deze opties wordt in een afzonderlijk tabblad hieronder uitgelegd.Each of these options is explained in a separate tab below.

Toegang tot een VM met JIT-functionaliteit aanvragen vanaf Azure Security CenterRequest access to a JIT-enabled VM from Azure Security Center

Wanneer een virtuele machine is ingeschakeld, moet u toegang aanvragen om er verbinding mee te maken.When a VM has a JIT enabled, you have to request access to connect to it. U kunt toegang tot een van de ondersteunde manieren aanvragen, ongeacht hoe u JIT hebt ingeschakeld.You can request access in any of the supported ways, regardless of how you enabled JIT.

JIT-toegang aanvragen via Security Center

  1. Selecteer op de just-in-time-pagina voor toegang tot de VM het tabblad geconfigureerd .From the Just-in-time VM access page, select the Configured tab.

  2. Markeer de Vm's die u wilt openen.Mark the VMs you want to access.

    • Het pictogram in de kolom verbindings Details geeft aan of JIT is ingeschakeld voor de netwerk beveiligings groep of firewall.The icon in the Connection Details column indicates whether JIT is enabled on the network security group or firewall. Als de functie is ingeschakeld op beide, wordt alleen het pictogram Firewall weer gegeven.If it's enabled on both, only the firewall icon appears.

    • In de kolom verbindings Details vindt u de informatie die nodig is om verbinding te maken met de virtuele machine en de bijbehorende open poorten.The Connection Details column provides the information required to connect the VM, and its open ports.

  3. Selecteer toegang aanvragen.Select Request access. Het venster toegang tot aanvragen wordt geopend.The Request access window opens.

  4. Configureer onder toegang aanvragen voor elke virtuele machine de poorten die u wilt openen en de bron-IP-adressen waarop de poort is geopend en het tijd venster waarvoor de poort wordt geopend.Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. Het is alleen mogelijk om toegang aan te vragen bij de geconfigureerde poorten.It will only be possible to request access to the configured ports. Elke poort heeft een Maxi maal toegestane tijd die is afgeleid van de JIT-configuratie die u hebt gemaakt.Each port has a maximum allowed time derived from the JIT configuration you've created.

  5. Selecteer poorten openen.Select Open ports.

Notitie

Als een gebruiker die toegang aanvraagt zich achter een proxy bevindt, werkt de optie Mijn IP mogelijk niet.If a user who is requesting access is behind a proxy, the option My IP may not work. Mogelijk moet u het volledige IP-adres bereik van de organisatie definiëren.You may need to define the full IP address range of the organization.

JIT-toegangs activiteit controleren in Security CenterAudit JIT access activity in Security Center

U kunt inzicht krijgen in VM-activiteiten met zoeken in Logboeken.You can gain insights into VM activities using log search. De logboeken weer geven:To view the logs:

  1. Selecteer het tabblad geconfigureerd van just-in-time-VM-toegang.From Just-in-time VM access, select the Configured tab.

  2. Open het menu met weglatings tekens aan het einde van de rij voor de virtuele machine die u wilt controleren.For the VM that you want to audit, open the ellipsis menu at the end of the row.

  3. Selecteer activiteiten logboek in het menu.Select Activity Log from the menu.

    Just-in-time JIT-activiteiten logboek selecteren

    Het activiteiten logboek bevat een gefilterde weer gave van eerdere bewerkingen voor die virtuele machine, samen met tijd, datum en abonnement.The activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

  4. Als u de logboek gegevens wilt downloaden, selecteert u downloaden als CSV.To download the log information, select Download as CSV.

Volgende stappenNext steps

In dit artikel hebt u geleerd hoe just-in-time-VM-toegang kan worden ingesteld en gebruikt.In this article, you learned how to set up and use just-in-time VM access. Lees voor meer informatie waarom JIT moet worden gebruikt, het concept artikel waarin wordt uitgelegd welke bedreigingen het beschermt tegen:To learn why JIT should be used, read the concept article explaining the threats it's defending against: