Bestuur van Just-in-Time (JIT) toegang vir Azure virtuele masjiene

Bestuur van Just-in-Time (JIT) toegang vir Azure virtuele masjiene

01/10/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en bestuur van Just-in-Time (JIT) Access for Azure Virtual Machines (VM's). JIT is 'n fundamentele sekuriteitskenmerk wat aangebied word deur Microsoft Defender for Cloud wat help om VM's teen ongemagtigde toegangsaanvalle te beskerm, wat die netwerkaanvaloppervlak dramaties verminder deur toegang tot bestuurpoorte te beperk slegs wanneer en vir so lank as wat dit streng nodig is [1].

Inleiding

In wolkomgewings is virtuele masjiene dikwels teikens van brute kragaanvalle en poortskanderings, veral dié met bestuurpoorte (soos RDP 3389 en SSH 22) wat aan die internet blootgestel is. Om hierdie poorte voortdurend oop te hou, skep 'n onnodige groot aanvaloppervlak, wat die risiko van kompromie verhoog. JIT Access los hierdie probleem op deur sekuriteitspanne toe te laat om inkomende verkeer na VM's by verstek te blokkeer en bestuurpoorte slegs op aanvraag oop te maak, vir 'n beperkte tydperk en vanaf spesifieke IP-adresse. Hierdie benadering volg die beginsel van minste bevoorregting en Zero Trust, om te verseker dat toegang slegs verleen word wanneer dit geregverdig is en vir die kortste moontlike tyd [2].

Hierdie praktiese gids sal die voorvereistes dek vir die aktivering van JIT, die konfigurasieproses deur Microsoft Sekuriteitsentrum, hoe om JIT-toegang te versoek en goed te keur, integrasie met sekuriteitwaarskuwings en beste praktyke vir effektiewe bestuur. Stap-vir-stap instruksies, voorbeeld Azure CLI opdragte en instruksies sal verskaf word sodat die leser die JIT kan implementeer en valideer, wat die sekuriteit van hul Azure VM's versterk en hulle beskerm teen ongemagtigde toegangsbedreigings.

Waarom is Just-in-Time (JIT) toegang noodsaaklik vir Azure VM's?

  • Aanvalsoppervlakvermindering: Sluit VM-bestuurpoorte by verstek, wat hulle slegs blootstel wanneer en vir so lank as wat nodig is, wat geleenthede vir aanvallers tot die minimum beperk.
  • Korreltoegangsbeheer: Laat jou toe om te spesifiseer watter gebruikers toegang kan versoek, watter poorte oopgemaak kan word, vir hoe lank en vanaf watter bron IP-adresse.
  • Voldoening: Help om te voldoen aan voldoeningsvereistes wat streng beheer oor toegang tot kritieke hulpbronne vereis.
  • Sigbaarheid en oudit: Verskaf gedetailleerde logboeke van alle JIT-toegangsversoeke, -goedkeurings en hawe-openinge/-sluitings, wat sekuriteitsouditering en -ondersoek vergemaklik.
  • Integrasie met Defender for Cloud: Ten volle geïntegreer met Microsoft Defender for Cloud, wat sy sekuriteitsposisiebestuur en bedreigingsbeskermingsvermoëns benut.
  • Outomatisering: Kan geoutomatiseer word om toegang in spesifieke scenario's, soos insidentreaksie of geskeduleerde instandhoudingsbedrywighede, goed te keur.

Voorvereistes

Om JIT Access vir Azure Virtual Machines te implementeer, sal jy die volgende items benodig:

  1. Aktiewe Azure-intekening: 'n Azure-intekening om hulpbronne te skep en te bestuur.
  2. Administratiewe toegang: 'n Rekening met die rol van Eienaar, Contributor of Sekuriteitsadministrateur in die Azure-intekening, of in die hulpbrongroep waar die VM'e geleë is.
  3. Microsoft Defender for Cloud Standard (of Defender for Servers): JIT is 'n premium kenmerk van Microsoft Defender for Cloud en vereis dat die Defender for Servers-plan geaktiveer word op die intekening wat die VM'e bevat [3].
  4. Bestaande Azure Virtual Machines: Azure VM's wat jy met JIT wil beskerm. Vir hierdie tutoriaal sal ons aanvaar dat jy reeds VM's ontplooi het.
  5. Azure CLI of Azure PowerShell: Geïnstalleerde en gekonfigureerde opdragreëlnutsgoed om met Azure te kommunikeer.

Stap vir stap: aktiveer en bestuur JIT-toegang

Kom ons stel die JIT vir jou Azure VM's op.

1. Aktiveer die Defender for Servers Plan

Soos in die voorvereistes genoem, vereis JIT dat die Defender for Servers-plan geaktiveer is.

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. In die boonste soekveld, tik Defender for Cloud en kies dit uit die resultate.
  4. In die Defender for Cloud-kontroleskerm, kies Omgewinginstellingsen in die linkernavigasiepaneel.
  5. Kies die Azure-intekening wat jou VM's bevat.
  6. Op die Defender-planne-bladsy, maak seker dat die Defender for Servers-plan Aktiveer is. As dit nie is nie, klik Aktiveer en volg die instruksies om dit te aktiveer.

2. Aktiveer JIT-toegang vir VM's

Jy kan JIT aktiveer vir individuele VM's of vir verskeie VM's gelyktydig.

  1. In die Defender for Cloud-kontroleskerm, kies Werkladingsbeskerming in die linkernavigasiepaneel.
  2. Blaai af na die Gevorderde Beskerming-afdeling en klik op Just-in-Time VM Access.

  3. Onder die Virtuele masjiene-oortjie sal jy drie sub-oortjies sien: Gekonfigureer, Aanbeveel en Nie gekonfigureer.

    • Aanbeveel: Lys die VM's wat Security Centre aanbeveel om met JIT te beskerm.
    • `Nie gekonfigureer nie: Lys VM's wat nie JIT-beskerm is nie, maar wat in aanmerking kom.

  4. Kies die VM's in die Recommended of Not Configured-oortjie waarvoor jy JIT wil aktiveer.

  5. Klik Enable JIT on VM.

  6. Konfigureer JIT-beleid: Vir elke geselekteerde VM kan jy die volgende opsies instel:

    • Hawens: Die bestuurpoorte wat beskerm sal word (bv: 22, 3389, 5985, 5986). U kan pasgemaakte poorte byvoeg.
    • Protokol: Die protokol vir elke poort (bv. TCP, UDP).
    • Maksimum versoek tyd: Die maksimum tyd (in ure) wat 'n deur oop kan wees na 'n goedgekeurde versoek. Die verstek is 3 uur.
    • Goedgekeurde bron-IP-adresse: Opsioneel, maar sterk aanbeveel. Beperk toegang tot spesifieke IP's of IP-blokke. By verstek is dit Enige (*), wat beteken dat enige IP toegang kan versoek.

  7. Klik Stoor om die JIT-beleid op die geselekteerde VM's toe te pas.

3. Versoek net-betyds toegang tot 'n VM

Wanneer 'n gebruiker of administrateur toegang tot 'n JIT-beskermde VM moet kry, moet hulle toegang versoek.

  1. In die Sekuriteitsentrum-kontroleskerm, kies Werkladingsbeskerming > Net-betyds VM-toegang.
  2. In die Virtual Machines-oortjie, kies die VM waartoe jy toegang wil hê (dit moet in die Configured-oortjie wees).

  3. Klik Versoek toegang.

  4. In die Versoek toegang-venster, spesifiseer: Deure: Die deure wat jy moet oopmaak.

    • Bron IP-adres: Die publieke IP-adres waarvandaan jy sal koppel. Jy kan My IP-adres (jou toestel se huidige publieke IP) of Gepasmaak kies om 'n IP of CIDR te spesifiseer.
    • Tydperiode: Die tydsduur van toegang (beperk deur die Maksimum versoektyd wat in die JIT-beleid opgestel is).
    • Regverdiging: 'n Kort beskrywing van die rede vir die toegangsversoek.

  5. Klik Open Ports.

    • Let wel: As die JIT-beleid goedkeuring vereis, sal die versoek aan die gekonfigureerde goedkeurders gestuur word voordat die poorte oopgemaak word.

4. Goedkeuring van JIT-toegangsversoeke (indien opgestel)

Vir scenario's waar goedkeuring vereis word (via Azure Logic Apps of Azure Functions), kan die proses verskil. By verstek maak JIT poorte onmiddellik oop op versoek, tensy 'n werkvloei-outomatisering opgestel is.

  • Wenk: Vir goedkeuringswerkvloeie kan jy Azure Logic Apps gebruik om Azure-ouditlogboeke of Azure Security Center-gebeure te monitor en 'n goedkeuringsproses te aktiveer (bv., stuur 'n e-pos aan 'n sekuriteitsgroep vir handmatige goedkeuring).

5. Kontroleer JIT Toegang Status

Nadat u toegang versoek het, kan u die status op die portaal nagaan.

  1. In die Sekuriteitsentrum-kontroleskerm, kies Werkladingsbeskerming > Net-betyds VM-toegang.
  2. In die Virtuele Masjiene-oortjie moet die VM waartoe jy toegang versoek het, n status wys wat aandui dat toegangAktiefofHangende` is (indien goedgekeur).
  3. Die Resterende tyd kolom sal wys hoeveel toegangstyd oor is.

6. Deaktiveer JIT-toegang (opsioneel)

As jy JIT vir 'n VM moet deaktiveer, volg hierdie stappe:

  1. In die Sekuriteitsentrum-kontroleskerm, kies Werkladingsbeskerming > Net-betyds VM-toegang.
  2. In die Virtuele masjiene-oortjie, kies die gekonfigureerde VM.
  3. Klik Deaktiveer JIT op VM.

Bekragtiging en toetsing

Die validering van die doeltreffendheid van JIT-toegang is van kardinale belang om te verseker dat jou VM's beskerm word en dat toegang verleen kan word wanneer nodig.

1. Toets D-Blocken Standaard Toegang

  1. Probeer om toegang te verkry tot 'n bestuurpoort (bv. RDP 3389 of SSH 22) vanaf 'n JIT-beskermde VM sonder om JIT-toegang te versoek.
    • Verwagte resultaat: Die verbinding moet geweier of uitgetel word aangesien poorte by verstek gesluit is.

2. Toets Goedgekeurde JIT Toegang

  1. Versoek JIT-toegang tot die verlangde VM en poort deur sy openbare IP-adres te gebruik.

  2. Na goedkeuring (of onmiddellike opening indien geen goedkeuring opgestel is nie), probeer om toegang tot die VM via RDP of SSH vanaf dieselfde publieke IP-adres te verkry.

    • Verwagte resultaat: Die verbinding behoort suksesvol te wees.

  3. Wag totdat die JIT-toegangstyd verstryk (of kanselleer toegang handmatig).

  4. Probeer weer toegang tot die VM kry.
    • Verwagte resultaat: Die verbinding moet weer geweier word.

3. Kontroleer ouditlogboeke

Alle JIT-bedrywighede word in Azure-ouditlogboeke aangeteken, wat 'n volledige spoor verskaf van wie wat versoek het, wanneer en van waar.

  1. In die Azure-portaal, navigeer na jou hulpbrongroep of spesifieke VM.
  2. Kies Activity Log in die linkernavigasiepaneel.
  3. Filter vir gebeure wat verband hou met Just-in-Time VM Access of Microsoft.Security/locations/jitNetworkAccessPolicies.
    • Jy sal gebeure sien soos JIT-netwerktoegangsbeleid geskep, JIT-netwerktoegangsbeleid versoek, JIT-netwerktoegangsbeleid goedgekeur (indien van toepassing) en JIT-netwerktoegangsbeleid gesluit.

Sekuriteitswenke en beste praktyke

  • Beginsel van die minste voorreg: Stel JIT-beleide op om die minste moontlike voorreg te verleen – die presiese poorte wat nodig is, vir die kortste moontlike tyd, en vanaf die mees beperkte bron-IP'e.
  • Beperk Bron-IP-adresse: Waar moontlik, spesifiseer bron-IP-adresse in die JIT-beleid en toegangsversoeke. Vermy die gebruik van Enige (*) vir bron-IP'e.
  • Kort Tydperiodes: Stel die maksimum versoektyd op die kortste redelike tydperk (bv. 1-2 uur), wat gebruikers dwing om die behoefte aan toegang te herevalueer.
  • Monitering en waarskuwings: Stel waarskuwings in Azure Monitor op vir JIT-toegangsversoeke, veral vir kritieke poorte of onverwagte IP's. Integreer hierdie waarskuwings met jou SIEM (bv. Microsoft Sentinel).
  • Werkvloeioutomatisering: Vir omgewings met streng goedkeuringsvereistes, gebruik Azure Logic Apps of Azure Functions om pasgemaakte goedkeuringswerkvloeie vir JIT-versoeke te skep.
  • Dokumentasie en opleiding: Dokumenteer JIT-toegangsbeleide duidelik en lei gebruikers op oor hoe om toegang te versoek en hoe belangrik dit is om die beste sekuriteitspraktyke te volg.
  • Periodiese hersiening: Hersien gereeld JIT-beleide en toegangslogboeke om te verseker dat dit relevant en doeltreffend bly.
  • Kombineer met NSG's en Azure Firewall: JIT komplementeer ander lae van netwerksekuriteit, soos Network Security Groups (NSG's) en Azure Firewall. Gebruik hulle saam vir verdediging in diepte.

Algemene probleemoplossing

  • Kan nie JIT vir 'n VM aktiveer nie: Verifieer dat die Defender for Servers-plan vir die VM-intekening geaktiveer is. Maak seker dat die VM nie in 'n ongeldige toestand is nie of dat daar geen botsende instellings is nie.
  • Kan nie JIT-toegang versoek nie: Maak seker dat jy die nodige toestemmings het (bv. Medewerker of Virtuele masjien net-betydse toegangsoperateur) om toegang te versoek. Maak seker dat die VM vir JIT opgestel is en die poorte in die beleid gedefinieer is.
  • Verbinding geweier ná JIT-versoek: Maak seker dat die bron-IP-adres wat jy in die JIT-versoek gespesifiseer het, ooreenstem met die publieke IP van jou toestel. Bevestig dat die tydperk nie verstryk het nie. Verifieer dat daar geen bykomende NSG's of firewall-reëls is wat verkeer blokkeer nadat die JIT-poort oopgemaak is nie.
  • Verkeerde poorte oop: Gaan die JIT-beleid wat vir die VM opgestel is na om te verseker dat die korrekte poorte gelys is. As jy die Azure CLI gebruik, gaan die poortparameters na.
  • JIT Access Security Alerts: Ondersoek enige JIT-verwante sekuriteitswaarskuwings. Dit kan 'n ongemagtigde toegangspoging of verkeerde opstelling aandui.
  • VM-prestasie geraak: Die JIT self behoort nie VM-werkverrigting te beïnvloed nie. As daar probleme is, ondersoek ander komponente van die VM of netwerk.

Gevolgtrekking

OJust-in-Time (JIT) Toegangsbestuur vir Azure Virtual Machines is 'n noodsaaklike sekuriteitstrategie om jou wolkhulpbronne teen ongemagtigde toegangsbedreigings te beskerm. Deur bestuurpoorte by verstek te sluit en dit slegs op aanvraag oop te maak, verminder JIT die aanvaloppervlak aansienlik, versterk jou sekuriteitshouding en help jou om aan voldoeningsvereistes te voldoen. Effektiewe implementering van JIT, gekombineer met beste sekuriteitspraktyke en deurlopende monitering, verseker dat jou VM'e veilig en slegs vir wettige gebruikers en doeleindes toeganklik bly. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om JIT Access op te stel, te valideer en te bestuur, wat hul Azure Virtual Machines meer veerkragtig en beskerm maak.

Verwysings:

[1] Microsoft Learn. Wat is JIT (net-betyds) toegang tot die VM?. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-overview [2] Microsoft Learn. Aktiveer net-betydse toegang op VM'e. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [3] Microsoft Learn. Bestuur bedienersekuriteit met Microsoft Defender for Cloud. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [4] Microsoft Learn. Bestuur JIT (net-betyds) toegang tot jou VM's met PowerShell. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-powershell