练习 - 启用 JIT VM 访问

  • 10 分钟

你需要具有 Microsoft Defender for Cloud 的增强安全功能,以使用此功能。 在订阅上激活试用版或启用增强安全性后,可以在订阅中为所选 Azure 虚拟机 (VM) 启用即时 (JIT) 虚拟机 (VM) 访问。 如果你不想立即开始试用,可以通读以下说明来查看必要的步骤。

创建新 VM

首先,使用 Azure Cloud Shell 来创建虚拟机。

注意

此练习在 Azure 沙盒中无法执行。 请确保选择已为 Defender for Cloud 启用增强安全功能的订阅。

  1. 登录 Azure 门户

  2. 从 Azure 门户工具栏的右上方选择“Cloud Shell”图标。 Cloud Shell 会显示在门户底部。

    首先设置一些默认值,这样你将不必多次输入。

  3. 设置默认位置。 在这里,我们使用 eastus,但你可以随意将其更改为离自己更近的位置

    az configure --defaults location=eastus

    提示

    可以使用“复制”按钮将命令复制到剪贴板。 要粘贴,请右键单击 Cloud Shell 终端中的新行,然后选择“粘贴”,或使用 Shift+Insert 键盘快捷方式(在 macOS 上为 ⌘+V)。

  4. 接下来,创建新的 Azure 资源组以保存 VM 资源。 我们在此处使用了名称 mslearnDeleteMe,提醒自己在完成后删除此组。

    az group create --name mslearnDeleteMe --location eastus

  5. 继续操作,将 mslearnDeleteMe 设置为默认资源组。

    az configure --defaults group="mslearnDeleteMe"

  6. 接下来,运行以下命令,创建新的基于 Windows 的 VM。 请务必使用你自己的有效密码替换 <your-password-here> 值。

    az vm create \
    --name SRVDC01 \
    --image win2019datacenter \
    --resource-group mslearnDeleteMe \
    --admin-username azureuser \
    --admin-password <your-password-here>

    创建 VM 和支持资源需要几分钟时间。 你应该得到类似于以下示例的响应。

    {
  "fqdns": "",
  "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01",
  "location": "eastus",
  "macAddress": "00-00-00-00-00-00",
  "powerState": "VM running",
  "privateIpAddress": "10.1.0.4",
  "publicIpAddress": "52.123.123.123",
  "resourceGroup": "mslearnDeleteMe",
  "zones": ""
}

  7. 若要通过远程桌面 (RDP) 连接到 VM,请使用响应中的公共 IP 地址。 Windows 具有内置 RDP 客户端。 如果使用不同的客户端系统,则有适用于 macOS 和 Linux 的客户端。

可以连接和管理 VM。 让我们通过添加 JIT 来提高安全性!

在 Defender for Cloud 中启用 JIT VM 访问

  1. 在顶部搜索菜单栏的 Azure 门户的主页上,搜索并选择“Microsoft Defender for Cloud”。 随即显示 Microsoft Defender for Cloud 的“概述”窗格

  2. 在左侧菜单窗格的“云安全”下,选择“工作负载保护”。 随即显示“工作负载保护”窗格

  3. 在主窗口中,向下滚动到“高级保护”。 选择“实时 VM 访问”。 此时将显示“实时 VM 访问”窗格

  4. 在“虚拟机”下,选择“未配置”选项卡

  5. 从资源组 MSLEARNDELETEME 中选择虚拟机

  6. 为所选的 VM 选择“在 1 个 VM 上启用 JIT”,如以下屏幕截图所示

    Screenshot that depicts how you can enable JIT VM Access for a selected VM.

    此时将显示 VM 的“JIT VM 访问配置”窗格。 启用 JIT 规则后,可以检查 VM 的网络安全组。 它应用了一组新的规则来阻止远程管理访问,如下图所示。

    Screenshot that depicts rules to block remote management access.

    请注意,规则将应用于内部地址,同时包含所有管理端口 - 远程桌面协议 (3389) 和 SSH (22)。

  7. 在顶部菜单栏中,选择“保存”。 此时将再次显示“实时 VM 访问”窗格

请求远程桌面访问

如果此时尝试通过 RDP 进入 Windows VM,你会发现访问被阻止。 如果管理员需要访问权限,他们可以进入 Defender for Cloud 请求访问。

  1. 在“虚拟机”下,选择“已配置”选项卡

  2. 选择 VM,然后选择“请求访问”以打开管理端口

    Screenshot that depicts how you can request access to a VM.

    此时将显示 SRVD01 的“请求访问”窗格

  3. 选择要打开的端口;在本例中为远程桌面端口 (3389)。

    Screenshot that depicts opening a port by selecting On for its toggle.

  4. 选择“打开端口”以完成请求。 还可以设置在此面板中使端口保持打开状态的小时数。 时间到后,端口会关闭,访问会被拒绝。

现在,远程桌面客户端可以成功进行连接(至少在通过 Defender for Cloud 分配的时间段内能够成功进行连接)。