Sdílet prostřednictvím

Přístup k počítači za běhu

  • Článek

Program Defender for Servers Plan 2 v programu Microsoft Defender for Cloud poskytuje funkci přístupu k počítačům za běhu.

Aktéři hrozeb aktivně proaktivní vyhledávání přístupných počítačů s otevřenými porty pro správu, jako je RDP nebo SSH. Všechny vaše počítače jsou potenciálními cíli útoku. Když dojde k úspěšnému ohrožení zabezpečení počítače, použije se jako vstupní bod k útoku na další prostředky v prostředí.

Abychom snížili možnosti útoku, chceme méně otevřených portů, zejména porty pro správu. Legitimní uživatelé také používají tyto porty, takže jejich zavření není praktické.

K vyřešení tohoto dilematu nabízí Defender for Cloud přístup k počítačům za běhu, abyste mohli uzamknout příchozí provoz do virtuálních počítačů, což snižuje riziko útoků a v případě potřeby poskytuje snadný přístup k virtuálním počítačům. Přístup za běhu je k dispozici, pokud je povolený Defender for Servers Plan 2.

Přístup za běhu a síťové prostředky

Azure

V Azure můžete blokovat příchozí provoz na konkrétních portech povolením přístupu za běhu.

  • Defender for Cloud zajišťuje, že pro vybrané porty ve skupině zabezpečení sítě (NSG) a pravidlech služby Azure Firewall existují pravidla odepření veškerého příchozího provozu.
  • Tato pravidla omezují přístup k portům pro správu virtuálních počítačů Azure a chrání je před útoky.
  • Pokud pro vybrané porty už existují jiná pravidla, mají tato stávající pravidla přednost před novými pravidly odepření veškerého příchozího provozu.
  • Pokud na vybraných portech neexistují žádná pravidla, nová pravidla mají nejvyšší prioritu ve skupině zabezpečení sítě a službě Azure Firewall.

AWS

V AWS se povolením přístupu za běhu zruší příslušná pravidla v připojených skupinách zabezpečení EC2 (pro vybrané porty) a blokují příchozí provoz na těchto konkrétních portech.

  • Když uživatel požádá o přístup k virtuálnímu počítači, Defender for Servers zkontroluje, jestli má pro tento virtuální počítač oprávnění řízení přístupu na základě role v Azure (Azure RBAC ).
  • Pokud je žádost schválená, Defender for Cloud nakonfiguruje skupiny zabezpečení sítě a Azure Firewall tak, aby umožňovaly příchozí provoz na vybrané porty z příslušné IP adresy (nebo rozsahu) po dobu, kterou jste zadali.
  • V AWS vytvoří Defender for Cloud novou skupinu zabezpečení EC2, která umožňuje příchozí provoz na zadané porty.
  • Po vypršení platnosti služby Defender for Cloud obnoví skupiny zabezpečení sítě do předchozích stavů.
  • Připojení, která jsou již navázána, nejsou přerušena.

Poznámka:

  • Přístup za běhu nepodporuje virtuální počítače chráněné bránou Azure Firewall, které řídí Azure Firewall Manager.
  • Azure Firewall musí být nakonfigurovaný pomocí pravidel (Classic) a nemůže používat zásady brány firewall.

Identifikace virtuálních počítačů pro přístup za běhu

Následující diagram znázorňuje logiku, kterou Defender for Servers použije při rozhodování o kategorizaci podporovaných virtuálních počítačů:

Když Defender for Cloud najde počítač, který může využívat přístup za běhu, přidá tento počítač na kartu Prostředky , které nejsou v pořádku.

Doporučení pro přístup k virtuálnímu počítači podle potřeby (JIT)

Další kroky

Povolte přístup za běhu na virtuálních počítačích.