إدارة الوصول في الوقت المناسب (JIT) لأجهزة Azure الافتراضية

10/01/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ وإدارة الوصول في الوقت المناسب (JIT) لأجهزة Azure الافتراضية (VMs). JIT هي ميزة أمان أساسية يقدمها Microsoft Defender for Cloud والتي تساعد على حماية الأجهزة الافتراضية من هجمات الوصول غير المصرح بها، مما يقلل بشكل كبير من سطح الهجوم على الشبكة عن طريق تقييد الوصول إلى منافذ الإدارة فقط عندما وطالما كان ذلك ضروريًا للغاية [1].

مقدمة

في البيئات السحابية، غالبًا ما تكون الأجهزة الافتراضية أهدافًا لهجمات القوة الغاشمة وعمليات فحص المنافذ، خاصة تلك التي تحتوي على منافذ إدارة (مثل RDP 3389 وSSH 22) مكشوفة للإنترنت. يؤدي إبقاء هذه المنافذ مفتوحة باستمرار إلى إنشاء سطح هجوم كبير غير ضروري، مما يزيد من خطر التعرض للتسوية. يحل JIT Access هذه المشكلة من خلال السماح لفرق الأمان بحظر حركة المرور الواردة إلى الأجهزة الافتراضية بشكل افتراضي وفتح منافذ الإدارة فقط عند الطلب، لفترة زمنية محدودة، ومن عناوين IP محددة. يتبع هذا النهج مبدأ أقل الامتيازات والثقة المعدومة، مما يضمن عدم منح الوصول إلا عندما يكون مبررًا ولأقصر وقت ممكن [2].

سيغطي هذا الدليل العملي المتطلبات الأساسية لتمكين JIT، وعملية التكوين من خلال Microsoft Security Center، وكيفية طلب الوصول إلى JIT والموافقة عليه، والتكامل مع التنبيهات الأمنية، وأفضل الممارسات للإدارة الفعالة. سيتم توفير إرشادات خطوة بخطوة، مثل أوامر وتعليمات Azure CLI حتى يتمكن القارئ من تنفيذ JIT والتحقق من صحته، وتعزيز أمان أجهزة Azure VM الخاصة به وحمايتها من تهديدات الوصول غير المصرح بها.

ما سبب أهمية الوصول في الوقت المناسب (JIT) لأجهزة Azure VM؟

• Attack Surface Reduction: لإغلاق منافذ إدارة الأجهزة الافتراضية بشكل افتراضي، ولا يتم كشفها إلا عند الضرورة وطالما كان ذلك ضروريًا، مما يقلل من الفرص المتاحة للمهاجمين.
• التحكم الدقيق في الوصول: يتيح لك تحديد المستخدمين الذين يمكنهم طلب الوصول، والمنافذ التي يمكن فتحها، ومدة فتحها وعناوين IP المصدر منها.
• الامتثال: يساعد على تلبية متطلبات الامتثال التي تتطلب رقابة مشددة على الوصول إلى الموارد الحيوية.
• الرؤية والتدقيق: يوفر سجلات مفصلة لجميع طلبات الوصول إلى JIT والموافقات وعمليات فتح/إغلاق المنافذ، مما يسهل التدقيق الأمني ​​والتحقيق.
• التكامل مع Defender للسحابة: متكامل تمامًا مع Microsoft Defender للسحابة، مما يؤدي إلى الاستفادة من إدارة الموقف الأمني ​​وقدرات الحماية من التهديدات.
• الأتمتة: يمكن تشغيلها تلقائيًا للموافقة على الوصول في سيناريوهات محددة، مثل الاستجابة للحوادث أو عمليات الصيانة المجدولة.

المتطلبات الأساسية

لتنفيذ JIT Access لأجهزة Azure الافتراضية، ستحتاج إلى العناصر التالية:

1. اشتراك Azure النشط: اشتراك Azure لإنشاء الموارد وإدارتها.
2. الوصول الإداري: حساب بدور "المالك" أو "المساهم" أو "مسؤول الأمان" في اشتراك Azure، أو في مجموعة الموارد حيث توجد الأجهزة الافتراضية.
3. Microsoft Defender for Cloud Standard (أو Defender for Servers): JIT هي ميزة متميزة في Microsoft Defender for Cloud وتتطلب تمكين خطة Defender for Servers على الاشتراك الذي يحتوي على الأجهزة الافتراضية [3].
4. أجهزة Azure الافتراضية الموجودة: أجهزة Azure الافتراضية التي تريد حمايتها باستخدام JIT. في هذا البرنامج التعليمي، سنفترض أن لديك أجهزة افتراضية تم نشرها بالفعل.
5. Azure CLI أو Azure PowerShell: أدوات سطر الأوامر المثبتة والمكونة للتفاعل مع Azure.

خطوة بخطوة: تمكين وإدارة الوصول إلى JIT

لنقم بتكوين JIT لأجهزة Azure VM الخاصة بك.

1. تمكين خطة Defender للخوادم

كما هو مذكور في المتطلبات الأساسية، يتطلب JIT تفعيل خطة Defender for Servers.

1. افتح المتصفح الخاص بك وانتقل إلى بوابة Azure: https://portal.azure.com.
2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
3. في حقل البحث العلوي، اكتب "Defender for Cloud" وحدده من النتائج.
4. في لوحة معلومات Defender for Cloud، حدد إعدادات البيئةو في جزء التنقل الأيمن.
5. حدد اشتراك Azure الذي يحتوي على أجهزة VM الخاصة بك.
6. في صفحة خطط Defender، تأكد من أن خطة Defender for Servers مفعلة. إذا لم يكن كذلك، فانقر فوق "تمكين" واتبع التعليمات لتمكينه.

2. تمكين الوصول إلى JIT للأجهزة الافتراضية

يمكنك تمكين JIT لأجهزة افتراضية فردية أو لأجهزة افتراضية متعددة في وقت واحد.

1. في لوحة معلومات Defender for Cloud، حدد حماية أحمال العمل في جزء التنقل الأيمن.
2. قم بالتمرير لأسفل إلى قسم "الحماية المتقدمة" وانقر فوق Just-in-Time VM Access.

3. ضمن علامة التبويب "الأجهزة الافتراضية"، سترى ثلاث علامات تبويب فرعية: "مُهيأة" و"موصى بها" و"غير مهيأة".

   • موصى به: يسرد الأجهزة الافتراضية التي يوصي مركز الأمان بحمايتها باستخدام JIT.
   • غير مهيأ: يسرد الأجهزة الافتراضية غير المحمية بـ JIT ولكنها مؤهلة.

4. حدد الأجهزة الافتراضية في علامة التبويب "مستحسن" أو "غير مكوّن" التي تريد تمكين JIT لها.

5. انقر فوق تمكين JIT على الجهاز الافتراضي.

6. تكوين سياسة JIT: لكل جهاز افتراضي محدد، يمكنك تكوين الخيارات التالية:

   • المنافذ: منافذ الإدارة التي سيتم حمايتها (مثال: 22، 3389، 5985، 5986). يمكنك إضافة منافذ مخصصة.
   • البروتوكول: البروتوكول الخاص بكل منفذ (مثل TCP وUDP).
   • الحد الأقصى لوقت الطلب: الحد الأقصى للوقت (بالساعات) الذي يمكن فتح الباب فيه بعد الموافقة على الطلب. الافتراضي هو 3 ساعات.
   • عناوين IP المصدر المعتمدة: اختيارية، ولكن يوصى بها بشدة. يقيد الوصول إلى عناوين IP محددة أو كتل IP. افتراضيًا يكون Any (*)، مما يعني أن أي IP يمكنه طلب الوصول.

7. انقر فوق حفظ لتطبيق سياسة JIT على الأجهزة الافتراضية المحددة.

3. طلب الوصول في الوقت المناسب إلى جهاز افتراضي

عندما يحتاج المستخدم أو المسؤول إلى الوصول إلى جهاز افتراضي محمي بواسطة JIT، يجب عليه طلب الوصول.

1. في لوحة معلومات مركز الأمان، حدد حماية أحمال العمل > الوصول إلى الجهاز الافتراضي في الوقت المناسب.
2. في علامة التبويب "الأجهزة الافتراضية"، حدد الجهاز الافتراضي الذي تريد الوصول إليه (يجب أن يكون في علامة التبويب "مكون").

3. انقر فوق طلب الوصول.

4. في نافذة "طلب الوصول"، حدد:

   • الأبواب: الأبواب التي تحتاج إلى فتحها.
   • عنوان IP المصدر: عنوان IP العام الذي ستتصل منه. يمكنك تحديد "عنوان IP الخاص بي" (عنوان IP العام الحالي لجهازك) أو "مخصص" لتحديد عنوان IP أو CIDR.
   • الفترة الزمنية: مدة الوصول (محدودة بـ "الحد الأقصى لوقت الطلب" الذي تم تكوينه في سياسة JIT).
   • المبرر: وصف مختصر لسبب طلب الوصول.

5. انقر فتح المنافذ.

   • ملاحظة: إذا كانت سياسة JIT تتطلب الموافقة، فسيتم إرسال الطلب إلى المعتمدين الذين تم تكوينهم قبل فتح المنافذ.

4. الموافقة على طلبات الوصول إلى JIT (إذا تم تكوينها)

بالنسبة للسيناريوهات التي تتطلب الموافقة (عبر تطبيقات Azure Logic أو وظائف Azure)، قد تختلف العملية. افتراضيًا، يفتح JIT المنافذ فورًا عند الطلب ما لم يتم تكوين أتمتة سير العمل.

• نصيحة: بالنسبة لعمليات سير عمل الموافقة، يمكنك استخدام Azure Logic Apps لمراقبة سجلات تدقيق Azure أو أحداث Azure Security Center وتشغيل عملية الموافقة (على سبيل المثال، إرسال مجموعة أمان عبر البريد الإلكتروني للحصول على الموافقة اليدوية).

5. التحقق من حالة الوصول إلى JIT

بعد طلب الوصول، يمكنك التحقق من الحالة على البوابة.

1. في لوحة معلومات مركز الأمان، حدد حماية أحمال العمل > الوصول إلى الجهاز الافتراضي في الوقت المناسب.
2. في علامة التبويب "الأجهزة الافتراضية"، يجب أن يُظهر الجهاز الافتراضي الذي طلبت الوصول إليه حالة تشير إلى أن الوصول "نشط" أو "معلق" (إذا تمت الموافقة عليه).
3. سيُظهر عمود "الوقت المتبقي" مقدار الوقت المتبقي للوصول.

6. تعطيل الوصول إلى JIT (اختياري)

إذا كنت بحاجة إلى تعطيل JIT لجهاز افتراضي، فاتبع الخطوات التالية:

1. في لوحة معلومات مركز الأمان، حدد حماية أحمال العمل > الوصول إلى الجهاز الافتراضي في الوقت المناسب.
2. في علامة التبويب "الأجهزة الافتراضية"، حدد الجهاز الافتراضي الذي تم تكوينه.
3. انقر فوق تعطيل JIT على الجهاز الافتراضي.

التحقق والاختبار

يعد التحقق من فعالية JIT Access أمرًا بالغ الأهمية لضمان حماية الأجهزة الافتراضية الخاصة بك وإمكانية منح الوصول عند الضرورة.

1. اختبار D-Blockوالوصول القياسي

1. حاول الوصول إلى منفذ الإدارة (مثل RDP 3389 أو SSH 22) من جهاز افتراضي محمي بواسطة JIT ** دون طلب الوصول إلى JIT **.
   • النتيجة المتوقعة: يجب رفض الاتصال أو انتهاء مهلته نظرًا لأن المنافذ مغلقة بشكل افتراضي.

2. اختبار الوصول المعتمد إلى JIT

1. اطلب وصول JIT إلى الجهاز الظاهري والمنفذ المطلوبين باستخدام عنوان IP العام الخاص به.

2. بعد الموافقة (أو الفتح الفوري في حالة عدم تكوين الموافقة)، حاول الوصول إلى الجهاز الافتراضي عبر RDP أو SSH من نفس عنوان IP العام.

   • النتيجة المتوقعة: يجب أن يكون الاتصال ناجحًا.

3. انتظر حتى انتهاء وقت الوصول إلى JIT (أو قم بإلغاء الوصول يدويًا).

4. حاول الوصول إلى الجهاز الافتراضي مرة أخرى.
   • النتيجة المتوقعة: يجب رفض الاتصال مرة أخرى.

3. التحقق من سجلات التدقيق

يتم تسجيل جميع عمليات JIT في سجلات تدقيق Azure، مما يوفر مسارًا كاملاً لمن طلب ماذا ومتى وأين.

1. في بوابة Azure، انتقل إلى مجموعة الموارد الخاصة بك أو جهاز افتراضي محدد.
2. في جزء التنقل الأيمن، حدد سجل الأنشطة.
3. قم بتصفية الأحداث ذات الصلة بـ "Just-in-Time VM Access" أو "Microsoft.Security/locations/jitNetworkAccessPolicies".
   • ستشاهد أحداثًا مثل "تم إنشاء سياسة الوصول إلى شبكة JIT"، و"تم طلب سياسة الوصول إلى شبكة JIT"، و"تمت الموافقة على سياسة الوصول إلى شبكة JIT" (إن أمكن)، و"تم إغلاق سياسة الوصول إلى شبكة JIT".

نصائح أمنية وأفضل الممارسات

• مبدأ الامتياز الأقل: قم بتكوين سياسات JIT لمنح أقل امتياز ممكن - المنافذ الدقيقة المطلوبة، لأقصر وقت ممكن، ومن عناوين IP المصدر الأكثر تقييدًا.
• تقييد عناوين IP المصدر: كلما أمكن، حدد عناوين IP المصدر في سياسة JIT وطلبات الوصول. تجنب استخدام Any (*) لعناوين IP المصدر.
• فترات زمنية قصيرة: قم بتعيين الحد الأقصى لوقت الطلب على أقصر فترة زمنية معقولة (على سبيل المثال، ساعة أو ساعتين)، مما يجبر المستخدمين على إعادة تقييم الحاجة إلى الوصول.
• المراقبة والتنبيهات: قم بتكوين التنبيهات في Azure Monitor لطلبات الوصول إلى JIT، خاصة للمنافذ المهمة أو عناوين IP غير المتوقعة. قم بدمج هذه التنبيهات مع SIEM (مثل Microsoft Sentinel).
• أتمتة سير العمل: بالنسبة للبيئات ذات متطلبات الموافقة الصارمة، استخدم Azure Logic Apps أو Azure Functions لإنشاء مسارات عمل موافقة مخصصة لطلبات JIT.
• التوثيق والتدريب: توثيق سياسات الوصول إلى JIT بوضوح وتدريب المستخدمين على كيفية طلب الوصول وأهمية اتباع أفضل ممارسات الأمان.
• المراجعة الدورية: قم بمراجعة سياسات JIT وسجلات الوصول بانتظام للتأكد من أنها تظل ذات صلة وفعالة.
• الدمج مع NSGs وAzure Firewall: يكمل JIT طبقات أخرى من أمان الشبكة، مثل مجموعات أمان الشبكة (NSGs) وجدار حماية Azure. استخدمهم معًا للدفاع بعمق.

استكشاف الأخطاء وإصلاحها الشائعة

• غير قادر على تمكين JIT لجهاز افتراضي: تحقق من تمكين خطة Defender for Servers لاشتراك VM. تأكد من أن الجهاز الظاهري ليس في حالة غير صالحة أو أنه لا توجد إعدادات متعارضة.
• غير قادر على طلب الوصول إلى JIT: تأكد من أن لديك الأذونات اللازمة (على سبيل المثال، Collaborator أو Virtual Machine Just-in-Time Access Operator) لطلب الوصول. تأكد من تكوين VM لـ JIT ومن تحديد المنافذ في السياسة.
• تم رفض الاتصال بعد طلب JIT: تأكد من أن عنوان IP المصدر الذي حددته في طلب JIT يطابق عنوان IP العام لجهازك. تأكد من أن الفترة الزمنية لم تنته بعد. تأكد من عدم وجود مجموعات موردي المواد النووية أو قواعد جدار الحماية الإضافية التي تمنع حركة المرور بعد فتح منفذ JIT.
• فتح المنافذ الخاطئة: تحقق من سياسة JIT التي تم تكوينها لجهاز VM للتأكد من إدراج المنافذ الصحيحة. إذا كنت تستخدم Azure CLI، فتحقق من معلمات المنفذ.
• JIT Access Security Alerts: تحقق من أي تنبيهات أمنية متعلقة بـ JIT. قد يشير هذا إلى محاولة وصول غير مصرح بها أو تكوين غير صحيح.
• تأثر أداء الجهاز الافتراضي: يجب ألا يؤثر JIT نفسه على أداء الجهاز الافتراضي. إذا كانت هناك مشكلات، فافحص المكونات الأخرى للجهاز الظاهري أو الشبكة.

الخلاصة

ياتعد إدارة الوصول في الوقت المناسب (JIT) لأجهزة Azure الافتراضية بمثابة استراتيجية أمان أساسية لحماية مواردك السحابية من تهديدات الوصول غير المصرح بها. من خلال إغلاق منافذ الإدارة افتراضيًا وفتحها عند الطلب فقط، يقلل JIT بشكل كبير من سطح الهجوم، ويعزز وضع الأمان لديك، ويساعدك على تلبية متطلبات الامتثال. يضمن التنفيذ الفعال لـ JIT، إلى جانب أفضل ممارسات الأمان والمراقبة المستمرة، بقاء الأجهزة الافتراضية الخاصة بك آمنة ولا يمكن الوصول إليها إلا للمستخدمين والأغراض المشروعة. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان مجهزين جيدًا لتكوين JIT Access والتحقق من صحته وإدارته، مما يجعل أجهزتهم الافتراضية Azure أكثر مرونة وحماية.

---

المراجع:

[1] مايكروسوفت تعلم. ما هو الوصول إلى JIT (في الوقت المناسب) إلى الجهاز الافتراضي؟. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-overview [2] مايكروسوفت تعلم. تمكين الوصول في الوقت المناسب إلى الأجهزة الافتراضية. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [3] مايكروسوفت تعلم. إدارة أمان الخادم باستخدام Microsoft Defender للسحابة. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [4] مايكروسوفت تعلم. إدارة الوصول إلى JIT (في الوقت المناسب) إلى أجهزة VM الخاصة بك باستخدام PowerShell. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-powershell