使用 Just-In-Time 存取來保護管理連接埠

使用適用於雲端的 Microsoft Defender 的 Just-In-Time (JIT) 虛擬機器 (VM) 存取功能,鎖定輸入至 Azure 虛擬機器的流量。 這既可減少 VM 暴露於攻擊的風險,又能在您需要連線到 VM 時輕鬆存取。

如需 JIT 運作方式和基礎邏輯的完整說明,請參閱 Just-In-Time 說明

如需權限需求的完整說明,請參閱設定和使用 JIT 需要哪些權限?

此頁面會教您如何在安全性計劃中納入 JIT。 您將學習如何:

  • 在 VM 上啟用 JIT:您可以使用適用於雲端的 Defender、PowerShell 或 REST API,為一或多個 VM 啟用含有自訂選項的 JIT。 或者可以從 Azure 虛擬機器使用預設的硬式編碼參數來啟用 JIT。 啟用時,JIT 會在網路安全性群組中建立規則,以鎖定您 Azure 和 AWS VM 的輸入流量。
  • 要求存取已啟用 JIT 的 VM:JIT 的目標是確保即使您的輸入流量遭到鎖定,適用於雲端的 Defender 仍可在需要時輕鬆連線至 VM。 您可以從適用於雲端的 Defender、Azure 虛擬機器、PowerShell 或 REST API 要求存取已啟用 JIT 的 VM。
  • 稽核活動:為了確保您的 VM 受到妥善保護,請在執行一般安全性檢查時,檢閱已啟用 JIT 的 VM 的存取權。

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
支援的 VM: 透過 Azure Resource Manager 部署的 VM。
使用傳統部署模型部署的 VM。 深入了解這些部署模型
Azure 防火牆管理員控制的 Azure 防火牆1 所保護的 VM。
AWS EC2 實例 (Preview)
必要的角色和權限: 讀者資訊安全角色的角色皆可檢視 JIT 狀態和參數。
若要建立可與 JIT 搭配運作的自訂角色,請參閱設定和使用 JIT 所需的權限為何
若要為必須要求 JIT 存取 VM 且不執行 JIT 以外作業的使用者,建立最低特殊權限角色,請使用來自 Defender for Cloud GitHub 社群頁面的 Set-JitLeastPrivilegedRole 指令碼
雲端: 商業雲端
國家/地區 (Azure Government、Azure China 21Vianet)
已連線的 AWS 帳戶 (預覽)

1對於受 Azure 防火牆保護的任何 VM,只有在 JIT 與防火牆處於相同的 VNET 中時,才能為機器提供完整保護。 使用 VNET 對等互連的 VM 將無法受到完整保護。

啟用 JIT VM 存取

您可以使用適用於雲端的 Defender 或以程式設計方式,為一或多個 VM 啟用含有自訂選項的 JIT VM 存取權。

或者可以從 Azure 虛擬機器使用預設的硬式編碼參數來啟用 JIT。

下列各個索引標籤會說明這些選項。

從適用於雲端的 Microsoft Defender 在 VM 上啟用 JIT

在適用于雲端的 Microsoft Defender 中設定 JIT VM 存取。

您可以透過適用於雲端的 Defender 啟用和設定 JIT VM 存取。

  1. 開啟 [工作負載保護] 儀表板,然後從進階保護區域選取 [Just-in-time VM 存取]。

    [Just-In-Time VM 存取] 頁面隨即開啟,並將 VM 分組到下列索引標籤中:

    • [已設定]:已設定為支援 Just-In-Time VM 存取的 VM。 針對每個 VM,設定的索引標籤會顯示:
      • 過去七天內已核准的 JIT 要求數目
      • 上次存取日期和時間
      • 已設定的連線詳細資料
      • 上一位使用者
    • 未設定:未啟用 JIT 但可支援 JIT 的 VM。 建議您為這些 VM 啟用 JIT。
    • 不支援:未啟用 JIT 且不支援此功能的 VM。 您的 VM 可能在此索引標籤中,原因如下:
      • 缺少網路安全性群組 (NSG) 或 Azure 防火牆:JIT 需要設定 NSG 或設有防火牆設定 (或兩者兼具)
      • 傳統 VM:JIT 支援透過 Azure Resource Manager 部署 (而非「傳統部署」) 的 VM。 深入了解傳統和 Azure Resource Manager 部署模型
      • 其他:如果在訂閱或資源群組的安全性原則中停用 JIT 解決方案,您的 VM 可能會列在此索引標籤中。
  2. 從 [未設定] 索引標籤中,標示要以 JIT 保護的 VM,然後選取 [在 VM 上啟用 JIT]。

    JIT VM 存取頁面隨即開啟,其中列出適用於雲端的 Defender 建議保護的連接埠:

    • 22 - SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    若要接受預設設定,請選取 [儲存]。

  3. 如何自訂 JIT 選項:

    • 使用 [新增] 按鈕新增自訂連接埠。
    • 從清單中選取其中一個預設連接埠來修改。

    [新增連接埠設定] 窗格為每個連接埠 (自訂和預設) 提供下列選項:

    • 通訊協定:核准要求時在此連接埠上允許的通訊協定
    • 允許的來源 IP:核准要求時在此連接埠上允許的 IP 範圍
    • 要求時間上限:可開啟特定連接埠的時間範圍上限
    1. 根據您的需求設定連接埠安全性。

    2. 選取 [確定] 。

  4. 選取 [儲存]。

使用適用於雲端的 Defender 編輯已啟用 JIT 的 VM 上的 JIT 設定

可以藉由新增和設定一個對 VM 保護的新連接埠,或是變更與受保護的連接埠相關的其他任何設定,來修改該 VM 的 Just-In-Time 設定。

如何編輯 VM 的現有 JIT 規則:

  1. 開啟 [工作負載保護] 儀表板,然後從進階保護區域選取 [Just-in-time VM 存取]。

  2. 從 [已設定] 索引標籤中,以滑鼠右鍵按一下您要新增連接埠的 VM,然後選取 [編輯]。

    在適用于雲端的 Microsoft Defender 中編輯 JIT VM 存取設定。

  3. 在 [JIT VM 存取設定] 下方,您可以對於已經保護的連接埠編輯現有設定,也可以新增自訂連接埠。

  4. 當連接埠編輯完成時,請選取 [儲存]。

要求存取已啟用 JIT 的 VM

您可以從 (適用於雲端的 Defender 或 Azure 虛擬機器中的) Azure 入口網站或以程式設計的方式,要求存取已啟用 JIT 的 VM。

下列各個索引標籤會說明這些選項。

從適用於雲端的 Microsoft Defender 要求存取已啟用 JIT 的 VM

當 VM 已啟用 JIT 時,您必須要求存取權才能與其連線。 無論您透過何種方式啟用 JIT,都能以任何支援的方式要求存取權。

向適用于雲端的 Defender 要求 JIT 存取。

  1. 在 [Just-In-Time VM 存取] 頁面中,選取 [已設定] 索引標籤。

  2. 標記您想要存取的 VM。

    • [連線詳細資料] 資料行中的圖示會顯示出是否在網路安全性群組或防火牆上啟用 JIT。 如果這兩者均啟用,則只會顯示防火牆圖示。

    • [連線詳細資料] 資料行會提供連線 VM 所需的資訊,以及其開啟的連接埠。

  3. 選取 [要求存取]。 [要求存取] 視窗隨即開啟。

  4. 在 [要求存取] 下方,對於每個虛擬機器,設定要開啟的連接埠,以及對連接埠開放的來源 IP 位址和開啟連接埠的時間範圍。 只能要求存取已設定的連接埠。 每個連接埠都具有衍生自您建立的 JIT 設定的允許時間上限。

  5. 選取 [開啟連接埠]

注意

如果要求存取的使用者位於 Proxy 後方,[我的 IP] 選項可能無法運作。 您可能需要定義組織的完整 IP 位址範圍。

稽核適用於雲端的 Defender 中的 JIT 存取活動

您可以使用記錄搜尋來深入了解 VM 活動。 若要檢視記錄:

  1. 從 [Just-In-Time VM 存取] 中,選取 [已設定] 索引標籤。

  2. 針對您想要稽核的 VM,開啟資料列結尾的省略符號功能表。

  3. 從功能表中,選取 [活動記錄]。

    選取 Just-In-Time JIT 活動記錄。

    [活動記錄] 可提供篩選過的檢視,列出該 VM 先前的作業,以及時間、日期和訂閱。

  4. 若要下載記錄資訊,請選取 [下載為 CSV]。

下一步

在本文中,您已了解如何設定及使用 Just-In-Time VM 存取。 若要了解為何應該使用 JIT,請閱讀概念文章,文章中會說明其防禦的威脅: