Azure वर्चुअल मशीनों के लिए जस्ट-इन-टाइम (JIT) एक्सेस का प्रबंधन करना

Azure वर्चुअल मशीनों के लिए जस्ट-इन-टाइम (JIT) एक्सेस का प्रबंधन करना

01/10/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य एज़्योर वर्चुअल मशीन (वीएम) के लिए जस्ट-इन-टाइम (जेआईटी) एक्सेस को लागू करने और प्रबंधित करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। जेआईटी क्लाउड के लिए माइक्रोसॉफ्ट डिफेंडर द्वारा पेश की गई एक मौलिक सुरक्षा सुविधा है जो वीएम को अनधिकृत एक्सेस हमलों से बचाने में मदद करती है, प्रबंधन पोर्ट तक पहुंच को केवल तभी और जब तक आवश्यक हो तब तक सीमित करके नेटवर्क हमले की सतह को नाटकीय रूप से कम करती है [1]।

परिचय

क्लाउड वातावरण में, वर्चुअल मशीनें अक्सर क्रूर बल के हमलों और पोर्ट स्कैन का लक्ष्य होती हैं, विशेष रूप से प्रबंधन पोर्ट (जैसे आरडीपी 3389 और एसएसएच 22) के साथ इंटरनेट के संपर्क में आने वाली मशीनें। इन बंदरगाहों को लगातार खुला रखने से अनावश्यक रूप से बड़े हमले की सतह बन जाती है, जिससे समझौते का खतरा बढ़ जाता है। जेआईटी एक्सेस सुरक्षा टीमों को डिफ़ॉल्ट रूप से वीएम में इनबाउंड ट्रैफिक को ब्लॉक करने और केवल मांग पर, सीमित समय के लिए और विशिष्ट आईपी पते से प्रबंधन पोर्ट खोलने की अनुमति देकर इस समस्या को हल करता है। यह दृष्टिकोण कम से कम विशेषाधिकार और शून्य विश्वास के सिद्धांत का पालन करता है, यह सुनिश्चित करता है कि पहुंच केवल उचित होने पर और कम से कम संभव समय के लिए दी जाती है [2]।

यह व्यावहारिक मार्गदर्शिका JIT को सक्षम करने के लिए आवश्यक शर्तें, Microsoft सुरक्षा केंद्र के माध्यम से कॉन्फ़िगरेशन प्रक्रिया, JIT पहुंच का अनुरोध और अनुमोदन कैसे करें, सुरक्षा अलर्ट के साथ एकीकरण और प्रभावी प्रबंधन के लिए सर्वोत्तम प्रथाओं को कवर करेगी। चरण-दर-चरण निर्देश, उदाहरण Azure CLI कमांड और निर्देश प्रदान किए जाएंगे ताकि पाठक JIT को लागू और मान्य कर सकें, अपने Azure VM की सुरक्षा को मजबूत कर सकें और उन्हें अनधिकृत पहुंच खतरों से बचा सकें।

Azure VMs के लिए जस्ट-इन-टाइम (JIT) एक्सेस महत्वपूर्ण क्यों है?

  • हमले की सतह में कमी: वीएम प्रबंधन पोर्ट को डिफ़ॉल्ट रूप से बंद कर देता है, उन्हें केवल तभी और जब तक आवश्यक हो तब तक उजागर करता है, हमलावरों के लिए अवसरों को कम करता है।
  • ग्रेन्युलर एक्सेस कंट्रोल: आपको यह निर्दिष्ट करने की अनुमति देता है कि कौन से उपयोगकर्ता एक्सेस का अनुरोध कर सकते हैं, कौन से पोर्ट खोले जा सकते हैं, कितनी देर तक और किस स्रोत आईपी पते से।
  • अनुपालन: उन अनुपालन आवश्यकताओं को पूरा करने में मदद करता है जिनके लिए महत्वपूर्ण संसाधनों तक पहुंच पर कड़े नियंत्रण की आवश्यकता होती है।
  • दृश्यता और ऑडिटिंग: सुरक्षा ऑडिटिंग और जांच की सुविधा के लिए सभी जेआईटी एक्सेस अनुरोधों, अनुमोदनों और पोर्ट के उद्घाटन/समापन के विस्तृत लॉग प्रदान करता है।
  • क्लाउड के लिए डिफेंडर के साथ एकीकरण: क्लाउड के लिए माइक्रोसॉफ्ट डिफेंडर के साथ पूरी तरह से एकीकृत, इसकी सुरक्षा स्थिति प्रबंधन और खतरे से सुरक्षा क्षमताओं का लाभ उठा रहा है।
  • स्वचालन: घटना प्रतिक्रिया या अनुसूचित रखरखाव संचालन जैसे विशिष्ट परिदृश्यों में पहुंच को मंजूरी देने के लिए स्वचालित किया जा सकता है।

पूर्वावश्यकताएँ

Azure वर्चुअल मशीनों के लिए JIT एक्सेस लागू करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. सक्रिय Azure सदस्यता: संसाधन बनाने और प्रबंधित करने के लिए एक Azure सदस्यता।
  2. प्रशासनिक पहुंच: एज़्योर सदस्यता में, या संसाधन समूह में जहां वीएम स्थित हैं, मालिक, योगदानकर्ता या सुरक्षा प्रशासक की भूमिका वाला एक खाता।
  3. क्लाउड स्टैंडर्ड के लिए माइक्रोसॉफ्ट डिफेंडर (या सर्वर के लिए डिफेंडर): जेआईटी क्लाउड के लिए माइक्रोसॉफ्ट डिफेंडर की एक प्रीमियम सुविधा है और वीएम युक्त सदस्यता पर सर्वर योजना के लिए डिफेंडर को सक्षम करने की आवश्यकता है [3]।
  4. मौजूदा Azure वर्चुअल मशीनें: Azure VM जिन्हें आप JIT से सुरक्षित करना चाहते हैं। इस ट्यूटोरियल के लिए, हम मान लेंगे कि आपके पास पहले से ही VM तैनात हैं।
  5. Azure CLI या Azure PowerShell: Azure के साथ इंटरैक्ट करने के लिए कमांड-लाइन टूल इंस्टॉल और कॉन्फ़िगर किया गया।

चरण दर चरण: जेआईटी एक्सेस को सक्षम और प्रबंधित करना

आइए आपके Azure VMs के लिए JIT कॉन्फ़िगर करें।

1. सर्वर योजना के लिए डिफेंडर को सक्षम करना

जैसा कि पूर्वापेक्षाओं में बताया गया है, JIT को सर्वर योजना के लिए डिफेंडर सक्रिय करने की आवश्यकता है।

  1. अपना ब्राउज़र खोलें और Azure पोर्टल पर जाएँ: https://portal.azure.com
  2. उस खाते से लॉग इन करें जिसके पास आवश्यक अनुमतियाँ हैं।
  3. शीर्ष खोज फ़ील्ड में, डिफ़ेंडर फ़ॉर क्लाउड टाइप करें और परिणामों से इसे चुनें।
  4. डिफेंडर फॉर क्लाउड डैशबोर्ड में, पर्यावरण सेटिंग्स चुनेंऔर बाएँ नेविगेशन फलक में।
  5. उस Azure सदस्यता का चयन करें जिसमें आपका VM शामिल है।
  6. डिफेंडर योजना पृष्ठ पर, सुनिश्चित करें कि सर्वर के लिए डिफेंडर योजना सक्रिय है। यदि ऐसा नहीं है, तो 'सक्षम करें' पर क्लिक करें और इसे सक्षम करने के लिए निर्देशों का पालन करें।

2. वीएम के लिए जेआईटी एक्सेस सक्षम करना

आप JIT को अलग-अलग VM के लिए या एक साथ कई VM के लिए सक्षम कर सकते हैं।

  1. डिफेंडर फॉर क्लाउड डैशबोर्ड में, बाएं नेविगेशन फलक में वर्कलोड प्रोटेक्शन चुनें।
  2. उन्नत सुरक्षा अनुभाग तक नीचे स्क्रॉल करें और जस्ट-इन-टाइम वीएम एक्सेस पर क्लिक करें।

  3. 'वर्चुअल मशीन' टैब के अंतर्गत, आपको तीन उप-टैब दिखाई देंगे: 'कॉन्फ़िगर किया हुआ', 'अनुशंसित' और 'कॉन्फ़िगर नहीं किया गया'।

    • अनुशंसित: उन वीएम को सूचीबद्ध करता है जिन्हें सुरक्षा केंद्र जेआईटी के साथ संरक्षित करने की अनुशंसा करता है।
    • कॉन्फ़िगर नहीं किया गया: उन वीएम को सूचीबद्ध करता है जो जेआईटी संरक्षित नहीं हैं लेकिन पात्र हैं।

  4. अनुशंसित या कॉन्फ़िगर नहीं टैब में वीएम का चयन करें जिसके लिए आप जेआईटी सक्षम करना चाहते हैं।

  5. VM पर JIT सक्षम करें पर क्लिक करें।

  6. JIT नीति कॉन्फ़िगर करें: प्रत्येक चयनित VM के लिए, आप निम्नलिखित विकल्पों को कॉन्फ़िगर कर सकते हैं:

    • पोर्ट: प्रबंधन पोर्ट जो संरक्षित किए जाएंगे (उदा: 22, 3389, 5985, 5986)। आप कस्टम पोर्ट जोड़ सकते हैं.
    • प्रोटोकॉल: प्रत्येक पोर्ट के लिए प्रोटोकॉल (जैसे टीसीपी, यूडीपी)।
    • अधिकतम अनुरोध समय: स्वीकृत अनुरोध के बाद दरवाजा खुला रहने का अधिकतम समय (घंटों में)। डिफ़ॉल्ट 3 घंटे है.
    • स्वीकृत स्रोत आईपी पते*: वैकल्पिक, लेकिन अत्यधिक अनुशंसित। विशिष्ट आईपी या आईपी ब्लॉक तक पहुंच प्रतिबंधित करता है। डिफ़ॉल्ट रूप से यह कोई भी (*) है, जिसका अर्थ है कि कोई भी आईपी पहुंच का अनुरोध कर सकता है।

  7. चयनित वीएम पर जेआईटी नीति लागू करने के लिए सहेजें पर क्लिक करें।

3. वीएम तक जस्ट-इन-टाइम एक्सेस का अनुरोध करना

जब किसी उपयोगकर्ता या व्यवस्थापक को JIT-संरक्षित VM तक पहुंचने की आवश्यकता होती है, तो उन्हें पहुंच का अनुरोध करना होगा।

  1. सुरक्षा केंद्र डैशबोर्ड में, कार्यभार सुरक्षा > जस्ट-इन-टाइम वीएम एक्सेस चुनें।
  2. वर्चुअल मशीन टैब में, उस वीएम का चयन करें जिसे आप एक्सेस करना चाहते हैं (यह कॉन्फ़िगर टैब में होना चाहिए)।

  3. एक्सेस का अनुरोध करें पर क्लिक करें।

  4. अनुरोध एक्सेस विंडो में, निर्दिष्ट करें:

    • दरवाजे: वे दरवाजे जिन्हें आपको खोलने की जरूरत है।
    • स्रोत आईपी पता: सार्वजनिक आईपी पता जिससे आप जुड़ेंगे। आप आईपी या सीआईडीआर निर्दिष्ट करने के लिए मेरा आईपी पता (आपके डिवाइस का वर्तमान सार्वजनिक आईपी) या कस्टम का चयन कर सकते हैं।
    • समय अवधि: पहुंच की अवधि (जेआईटी नीति में कॉन्फ़िगर किए गए अधिकतम अनुरोध समय द्वारा सीमित)।
    • औचित्य: पहुंच अनुरोध के कारण का संक्षिप्त विवरण।

  5. पोर्ट खोलें पर क्लिक करें।

    • नोट: यदि जेआईटी नीति को अनुमोदन की आवश्यकता है, तो पोर्ट खुलने से पहले अनुरोध कॉन्फ़िगर किए गए अनुमोदनकर्ताओं को भेजा जाएगा।

4. जेआईटी एक्सेस अनुरोधों को मंजूरी देना (यदि कॉन्फ़िगर किया गया हो)

उन परिदृश्यों के लिए जहां अनुमोदन की आवश्यकता है (एज़्योर लॉजिक ऐप्स या एज़्योर फ़ंक्शंस के माध्यम से), प्रक्रिया भिन्न हो सकती है। डिफ़ॉल्ट रूप से, JIT अनुरोध पर तुरंत पोर्ट खोलता है जब तक कि वर्कफ़्लो स्वचालन कॉन्फ़िगर न किया गया हो।

  • टिप: अनुमोदन वर्कफ़्लो के लिए, आप Azure ऑडिट लॉग या Azure सुरक्षा केंद्र ईवेंट की निगरानी करने और अनुमोदन प्रक्रिया को ट्रिगर करने के लिए Azure लॉजिक ऐप्स का उपयोग कर सकते हैं (उदाहरण के लिए, मैन्युअल अनुमोदन के लिए एक सुरक्षा समूह को ईमेल करें)।

5. जेआईटी एक्सेस स्थिति की जाँच करना

पहुंच का अनुरोध करने के बाद, आप पोर्टल पर स्थिति की जांच कर सकते हैं।

  1. सुरक्षा केंद्र डैशबोर्ड में, कार्यभार सुरक्षा > जस्ट-इन-टाइम वीएम एक्सेस चुनें।
  2. 'वर्चुअल मशीन' टैब में, जिस वीएम तक आपने पहुंच का अनुरोध किया है, उसे एक स्थिति दिखानी चाहिए जो दर्शाती है कि पहुंच 'सक्रिय' या 'लंबित' है (यदि स्वीकृत हो)।
  3. 'शेष समय' कॉलम दिखाएगा कि कितना एक्सेस समय बचा है।

6. जेआईटी एक्सेस को अक्षम करना (वैकल्पिक)

यदि आपको VM के लिए JIT को अक्षम करने की आवश्यकता है, तो इन चरणों का पालन करें:

  1. सुरक्षा केंद्र डैशबोर्ड में, कार्यभार सुरक्षा > जस्ट-इन-टाइम वीएम एक्सेस चुनें।
  2. वर्चुअल मशीन टैब में, कॉन्फ़िगर किए गए वीएम का चयन करें।
  3. VM पर JIT अक्षम करें पर क्लिक करें।

सत्यापन और परीक्षण

यह सुनिश्चित करने के लिए कि आपके वीएम सुरक्षित हैं और आवश्यकता पड़ने पर पहुंच प्रदान की जा सकती है, जेआईटी एक्सेस की प्रभावशीलता को मान्य करना महत्वपूर्ण है।

1. डी-ब्लॉक का परीक्षणऔर मानक पहुंच

  1. जेआईटी एक्सेस का अनुरोध किए बिना जेआईटी-संरक्षित वीएम से प्रबंधन पोर्ट (जैसे आरडीपी 3389 या एसएसएच 22) तक पहुंचने का प्रयास करें
    • अपेक्षित परिणाम: कनेक्शन को अस्वीकार कर दिया जाना चाहिए या समय समाप्त कर दिया जाना चाहिए क्योंकि पोर्ट डिफ़ॉल्ट रूप से बंद हैं।

2. स्वीकृत JIT एक्सेस का परीक्षण

  1. अपने सार्वजनिक आईपी पते का उपयोग करके जेआईटी को वांछित वीएम और पोर्ट तक पहुंच का अनुरोध करें।

  2. अनुमोदन के बाद (या यदि कोई अनुमोदन कॉन्फ़िगर नहीं है तो तत्काल उद्घाटन), उसी सार्वजनिक आईपी पते से आरडीपी या एसएसएच के माध्यम से वीएम तक पहुंचने का प्रयास करें।

    • अपेक्षित परिणाम: कनेक्शन सफल होना चाहिए।

  3. JIT एक्सेस समय समाप्त होने तक प्रतीक्षा करें (या मैन्युअल रूप से एक्सेस रद्द करें)।

  4. वीएम तक फिर से पहुंचने का प्रयास करें।
    • अपेक्षित परिणाम: कनेक्शन को फिर से अस्वीकार कर दिया जाना चाहिए।

3. ऑडिट लॉग की जाँच करना

सभी JIT ऑपरेशन Azure ऑडिट लॉग में लॉग किए गए हैं, जिससे यह पता चलता है कि किसने, कब और कहाँ से अनुरोध किया था।

  1. Azure पोर्टल में, अपने संसाधन समूह या विशिष्ट VM पर जाएँ।
  2. बाएँ नेविगेशन फलक में, गतिविधि लॉग चुनें।
  3. 'जस्ट-इन-टाइम वीएम एक्सेस' या 'Microsoft.Security/locations/gitNetworkAccessPolicies' से संबंधित घटनाओं के लिए फ़िल्टर।
    • आपको JIT नेटवर्क एक्सेस पॉलिसी बनाई गई, JIT नेटवर्क एक्सेस पॉलिसी अनुरोधित, JIT नेटवर्क एक्सेस पॉलिसी स्वीकृत (यदि लागू हो) और JIT नेटवर्क एक्सेस पॉलिसी बंद जैसी घटनाएं दिखाई देंगी।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • न्यूनतम विशेषाधिकार का सिद्धांत: कम से कम विशेषाधिकार प्रदान करने के लिए जेआईटी नीतियों को कॉन्फ़िगर करें - आवश्यक सटीक पोर्ट, कम से कम समय के लिए, और सबसे प्रतिबंधित स्रोत आईपी से।
  • स्रोत आईपी पते प्रतिबंधित करें: जब भी संभव हो, जेआईटी नीति और एक्सेस अनुरोधों में स्रोत आईपी पते निर्दिष्ट करें। स्रोत आईपी के लिए कोई भी (*) का उपयोग करने से बचें।
  • कम समय अवधि: अधिकतम अनुरोध समय को सबसे कम उचित अवधि (उदाहरण के लिए 1-2 घंटे) पर सेट करें, जिससे उपयोगकर्ताओं को पहुंच की आवश्यकता का पुनर्मूल्यांकन करने के लिए मजबूर किया जा सके।
  • निगरानी और अलर्ट: जेआईटी एक्सेस अनुरोधों के लिए एज़्योर मॉनिटर में अलर्ट कॉन्फ़िगर करें, विशेष रूप से महत्वपूर्ण पोर्ट या अप्रत्याशित आईपी के लिए। इन अलर्ट को अपने सिएम (जैसे माइक्रोसॉफ्ट सेंटिनल) के साथ एकीकृत करें।
  • वर्कफ़्लो ऑटोमेशन: सख्त अनुमोदन आवश्यकताओं वाले वातावरण के लिए, JIT अनुरोधों के लिए कस्टम अनुमोदन वर्कफ़्लो बनाने के लिए Azure लॉजिक ऐप्स या Azure फ़ंक्शंस का उपयोग करें।
  • दस्तावेज़ीकरण और प्रशिक्षण: जेआईटी पहुंच नीतियों का स्पष्ट रूप से दस्तावेजीकरण करें और उपयोगकर्ताओं को पहुंच का अनुरोध करने के तरीके और सुरक्षा सर्वोत्तम प्रथाओं का पालन करने के महत्व पर प्रशिक्षित करें।
  • आवधिक समीक्षा: यह सुनिश्चित करने के लिए कि वे प्रासंगिक और प्रभावी बने रहें, जेआईटी नीतियों और एक्सेस लॉग की नियमित रूप से समीक्षा करें।
  • NSGs और Azure फ़ायरवॉल के साथ संयोजित करें: JIT नेटवर्क सुरक्षा की अन्य परतों, जैसे नेटवर्क सुरक्षा समूह (NSGs) और Azure फ़ायरवॉल का पूरक है। गहराई से बचाव के लिए उनका एक साथ उपयोग करें।

सामान्य समस्या निवारण

  • वीएम के लिए जेआईटी सक्षम करने में असमर्थ*: सत्यापित करें कि वीएम सदस्यता के लिए सर्वर योजना के लिए डिफेंडर सक्षम है। सुनिश्चित करें कि VM अमान्य स्थिति में नहीं है या कोई विरोधाभासी सेटिंग्स नहीं हैं।
  • JIT एक्सेस का अनुरोध करने में असमर्थ: सुनिश्चित करें कि आपके पास एक्सेस का अनुरोध करने के लिए आवश्यक अनुमतियाँ (जैसे सहयोगकर्ता या वर्चुअल मशीन जस्ट-इन-टाइम एक्सेस ऑपरेटर) हैं। सुनिश्चित करें कि VM को JIT के लिए कॉन्फ़िगर किया गया है और पोर्ट नीति में परिभाषित हैं।
  • JIT अनुरोध के बाद कनेक्शन अस्वीकृत: जांचें कि JIT अनुरोध में आपके द्वारा निर्दिष्ट स्रोत आईपी पता आपके डिवाइस के सार्वजनिक आईपी से मेल खाता है। पुष्टि करें कि समयावधि समाप्त नहीं हुई है. सत्यापित करें कि JIT पोर्ट खोलने के बाद ट्रैफ़िक को अवरुद्ध करने वाले कोई अतिरिक्त NSG या फ़ायरवॉल नियम नहीं हैं।
  • गलत पोर्ट खुले: सही पोर्ट सूचीबद्ध हैं यह सुनिश्चित करने के लिए वीएम के लिए कॉन्फ़िगर की गई जेआईटी नीति की जांच करें। यदि आप Azure CLI का उपयोग कर रहे हैं, तो पोर्ट पैरामीटर की जाँच करें।
  • जेआईटी एक्सेस सुरक्षा अलर्ट: किसी भी जेआईटी-संबंधित सुरक्षा अलर्ट की जांच करें। यह अनधिकृत पहुंच प्रयास या गलत कॉन्फ़िगरेशन का संकेत दे सकता है।
  • VM प्रदर्शन प्रभावित: JIT को स्वयं VM प्रदर्शन को प्रभावित नहीं करना चाहिए। यदि समस्याएँ हैं, तो VM या नेटवर्क के अन्य घटकों की जाँच करें।

निष्कर्ष

ओAzure वर्चुअल मशीनों के लिए जस्ट-इन-टाइम (JIT) एक्सेस प्रबंधन आपके क्लाउड संसाधनों को अनधिकृत एक्सेस खतरों से बचाने के लिए एक आवश्यक सुरक्षा रणनीति है। प्रबंधन पोर्ट को डिफ़ॉल्ट रूप से बंद करके और केवल मांग पर उन्हें खोलकर, JIT हमले की सतह को काफी कम कर देता है, आपकी सुरक्षा स्थिति को मजबूत करता है, और आपको अनुपालन आवश्यकताओं को पूरा करने में मदद करता है। जेआईटी का प्रभावी कार्यान्वयन, सुरक्षा सर्वोत्तम प्रथाओं और निरंतर निगरानी के साथ, यह सुनिश्चित करता है कि आपके वीएम केवल वैध उपयोगकर्ताओं और उद्देश्यों के लिए सुरक्षित और सुलभ रहें। इस व्यावहारिक गाइड के साथ, सुरक्षा पेशेवर जेआईटी एक्सेस को कॉन्फ़िगर, मान्य और प्रबंधित करने के लिए अच्छी तरह से सुसज्जित होंगे, जिससे उनकी एज़्योर वर्चुअल मशीनें अधिक लचीली और संरक्षित हो जाएंगी।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। वीएम तक जेआईटी (जस्ट-इन-टाइम) पहुंच क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-overview [2] माइक्रोसॉफ्ट लर्न। वीएम पर जस्ट-इन-टाइम एक्सेस सक्षम करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [3] माइक्रोसॉफ्ट लर्न। क्लाउड के लिए माइक्रोसॉफ्ट डिफेंडर के साथ सर्वर सुरक्षा प्रबंधित करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [4] माइक्रोसॉफ्ट लर्न। पॉवरशेल का उपयोग करके अपने वीएम तक जेआईटी (जस्ट-इन-टाइम) पहुंच प्रबंधित करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-powershell