Delen via

Just-In-Time-toegang tot machine

  • Artikel

Defender for Servers Plan 2 in Microsoft Defender voor Cloud biedt een Just-In-Time-functie voor toegang tot machines.

Bedreigingsactoren jagen actief op toegankelijke machines met open beheerpoorten, zoals RDP of SSH. Al uw machines zijn mogelijke doelen voor een aanval. Wanneer een machine is gecompromitteerd, wordt deze gebruikt als ingangspunt om verdere resources in de omgeving aan te vallen.

Om de kwetsbaarheid voor aanvallen te verminderen, willen we minder open poorten, met name beheerpoorten. Legitieme gebruikers gebruiken deze poorten ook, dus het is niet praktisch om ze gesloten te houden.

Om dit dilemma op te lossen, biedt Defender voor Cloud just-in-time toegang tot machines, zodat u het inkomende verkeer naar uw VM's kunt vergrendelen, waardoor de blootstelling aan aanvallen wordt verminderd terwijl u eenvoudig toegang hebt om verbinding te maken met VM's wanneer dat nodig is. Just-In-Time-toegang is beschikbaar wanneer Defender voor Servers Abonnement 2 is ingeschakeld.

Just-In-Time-toegang en netwerkbronnen

Azure

In Azure kunt u inkomend verkeer op specifieke poorten blokkeren door Just-In-Time-toegang in te schakelen.

  • Defender voor Cloud zorgt ervoor dat er regels voor het weigeren van al het inkomende verkeer bestaan voor de geselecteerde poorten in de netwerkbeveiligingsgroep (NSG) en Azure Firewall-regels.
  • Deze regels beperken de toegang tot de beheerpoorten van uw Azure-VM's en beschermen ze tegen aanvallen.
  • Als er al andere regels bestaan voor de geselecteerde poorten, hebben deze bestaande regels voorrang op de nieuwe regels voor binnenkomend verkeer weigeren.
  • Als er geen bestaande regels op de geselecteerde poorten zijn, hebben de nieuwe regels de hoogste prioriteit in de NSG en Azure Firewall.

AWS

In AWS worden door Just-In-Time-toegang in te schakelen de relevante regels in de gekoppelde EC2-beveiligingsgroepen (voor de geselecteerde poorten) ingetrokken, waardoor binnenkomend verkeer op deze specifieke poorten wordt geblokkeerd.

  • Wanneer een gebruiker toegang tot een VIRTUELE machine aanvraagt, controleert Defender for Servers of de gebruiker machtigingen voor op rollen gebaseerd toegangsbeheer (Azure RBAC) voor die VM heeft.
  • Als de aanvraag is goedgekeurd, Defender voor Cloud de NSG's en Azure Firewall zo configureert dat binnenkomend verkeer naar de geselecteerde poorten vanaf het relevante IP-adres (of bereik) is toegestaan voor de tijd die is opgegeven.
  • In AWS maakt Defender voor Cloud een nieuwe EC2-beveiligingsgroep die inkomend verkeer naar de opgegeven poorten toestaat.
  • Nadat de tijd is verlopen, Defender voor Cloud de NSG's terugzetten naar hun vorige statussen
  • Verbindingen die al tot stand zijn gebracht, worden niet onderbroken.

Notitie

  • Just-In-Time-toegang biedt geen ondersteuning voor VM's die worden beveiligd door Azure Firewalls die worden beheerd door Azure Firewall Manager.
  • De Azure Firewall moet worden geconfigureerd met regels (klassiek) en kan geen firewallbeleid gebruiken.

VM's identificeren voor Just-In-Time-toegang

In het volgende diagram ziet u de logica die Defender for Servers toepast bij het bepalen hoe u uw ondersteunde VM's categoriseert:

Wanneer Defender voor Cloud een machine vindt die kan profiteren van Just-In-Time-toegang, wordt die machine toegevoegd aan het tabblad Beschadigde resources van de aanbeveling.

Aanbeveling voor Just-In-Time(JIT)-toegang tot virtuele machines (VM).

Volgende stappen

Just-In-Time-toegang inschakelen op VM's.