Freigeben über

Just-in-Time-Computerzugriff

  • Artikel

Defender for Servers Plan 2 in Microsoft Defender for Cloud bietet eine Just-in-Time-Computerzugriffsfunktion.

Bedrohungsakteure suchen aktiv nach zugänglichen Computer mit offenen Verwaltungsports wie RDP oder SSH. Alle Ihre Computer sind potenzielle Ziele für Angriffe. Wenn ein Computer erfolgreich kompromittiert wurde, wird sie als Einstiegspunkt verwendet, um weitere Ressourcen in der Umgebung anzugreifen.

Um Angriffsflächen zu reduzieren, muss die Anzahl offener Ports reduziert werden, insbesondere Verwaltungsports. Legitime Benutzer verwenden diese Ports ebenfalls, daher ist es nicht sinnvoll, sie geschlossen zu halten.

Um dieses Dilemma zu lösen, bietet Defender for Cloud Just-in-Time-Computerzugriff, damit Sie den eingehenden Datenverkehr auf Ihre VMs blockieren können, wodurch die Gefährdung von Angriffen reduziert wird und gleichzeitig bei Bedarf eine einfache Verbindung mit VMs hergestellt werden kann. Just-in-Time-Zugriff ist verfügbar, wenn Defender for Servers Plan 2 aktiviert ist.

Just-in-Time-Zugriff und Netzwerkressourcen

Azure

In Azure können Sie eingehenden Datenverkehr an bestimmten Ports blockieren, indem Sie den Just-In-Time-Zugriff aktivieren.

  • Defender for Cloud stellt sicher, dass für die von Ihnen ausgewählten Ports in der Netzwerksicherheitsgruppe (NSG) und in den Azure Firewall-Regeln Regeln zum Ablehnen des gesamten eingehenden Datenverkehrs vorhanden sind.
  • Diese Regeln schränken den Zugriff auf die Verwaltungsports ihrer Azure-VMs ein und schützen sie vor Angriffen.
  • Wenn für die ausgewählten Ports bereits andere Regeln bestehen, haben diese bestehenden Regeln Vorrang vor den neuen Regeln zum Ablehnen des gesamten eingehenden Datenverkehrs.
  • Wenn es für die ausgewählten Ports keine Regeln gibt, dann haben die neuen Regeln in der NSG und Azure Firewall höchste Priorität.

AWS

In AWS werden durch die Aktivierung des Just-In-Time-Zugriffs die relevanten Regeln in den angefügten EC2-Sicherheitsgruppen für die ausgewählten Ports widerrufen, sodass der eingehende Datenverkehr an diesen Ports blockiert wird.

  • Wenn ein Benutzer Zugriff auf eine VM anfordert, überprüft Defender for Servers, ob diesem bzw. dieser über die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) Berechtigungen für diese VM erteilt wurden.
  • Wenn die Anfrage genehmigt wird, konfiguriert Defender for Cloud die NSGs und Azure Firewall so, dass sie eingehenden Datenverkehr zu den ausgewählten Ports von der relevanten IP-Adresse (oder dem Adressbereich) für die angegebene Zeitspanne zulassen.
  • In AWS erstellt Defender für Cloud eine neue EC2-Sicherheitsgruppe, die eingehenden Datenverkehr an den angegebenen Ports zulässt.
  • Nach Ablauf dieser Zeitspanne stellt Defender for Cloud den jeweiligen vorherigen Status der NSGs wieder her.
  • Bereits eingerichtete Verbindungen werden nicht unterbrochen.

Hinweis

  • Just-in-Time-Zugriff unterstützt keine VMs, die durch Azure Firewalls geschützt sind, die von Azure Firewall Manager gesteuert werden.
  • Die Azure Firewall muss mit Regeln (klassisch) konfiguriert sein und kann keine Firewallrichtlinien verwenden.

Identifizieren von VMs für den Just-In-Time-Zugriff

Das folgende Diagramm zeigt die Logik, die Defender for Servers bei der Entscheidung über die Kategorisierung Ihrer unterstützten VMs anwendet:

Wenn Defender for Cloud einen Computer findet, der von Just-In-Time-Zugriff profitieren kann, wird dieser Computer der Registerkarte Fehlerhafte Ressourcen der Empfehlung hinzugefügt.

Empfehlung für Just-In-Time-Zugriff (JIT) auf virtuelle Computer (VM)

Nächste Schritte

Aktivieren des Just-In-Time-Zugriffs auf VMs