Поделиться через

JIT-доступ к компьютеру

  • Статья

Defender для серверов плана 2 в Microsoft Defender для облака предоставляет функцию JIT-доступа к компьютеру.

Злоумышленники активно ищут доступные компьютеры с открытыми портами управления, например RDP или SSH. Все ваши компьютеры являются потенциальными целями для атаки. Когда компьютер успешно скомпрометирован, он используется в качестве точки входа для атак на дополнительные ресурсы в среде.

Чтобы уменьшить количество открытых портов, особенно портов управления, мы хотим уменьшить количество открытых портов. Законные пользователи также используют эти порты, поэтому они не практически закрываются.

Чтобы решить эту дилемму, Defender для облака предлагает JIT-доступ к компьютеру, чтобы вы могли заблокировать входящий трафик к виртуальным машинам, уменьшая уязвимость к атакам, обеспечивая простой доступ к виртуальным машинам при необходимости. JIT-доступ доступен, если включен план 2 Defender для серверов.

JIT-доступ и сетевые ресурсы

Azure

В Azure можно заблокировать входящий трафик на определенных портах, включив JIT-доступ.

  • Defender для облака создает правила типа "запретить весь входящий трафик" для выбранных портов в группе безопасности сети (NSG) и правилах Брандмауэра Azure.
  • Эти правила ограничивают доступ к портам управления на виртуальной машине Azure и защищают их от атак.
  • Если для выбранных портов уже существуют другие правила, они сохраняют более высокий приоритет по отношению к новым правилам типа "запретить весь входящий трафик".
  • Если для выбранных портов нет существующих правил, новые правила получат наивысший приоритет в NSG и в Брандмауэре Azure.

AWS

В AWS путем включения JIT-доступа соответствующие правила в подключенных группах безопасности EC2 (для выбранных портов) отозваны, блокируя входящий трафик на этих конкретных портах.

  • Когда пользователь запрашивает доступ к виртуальной машине, Defender для серверов проверяет, имеет ли пользователь разрешения на управление доступом на основе ролей Azure (Azure RBAC) для этой виртуальной машины.
  • Если запрос утверждается, Defender для облака изменяет параметры групп безопасности сети и Брандмауэра Azure, чтобы разрешить входящий трафик на выбранные порты с определенного IP-адреса (или диапазона адресов) на указанный период времени.
  • В AWS Defender для облака создает новую группу безопасности EC2, которая разрешает входящий трафик для указанных портов.
  • После истечения срока действия Defender для облака восстанавливает группы безопасности сети до предыдущих состояний.
  • Подключения, которые уже установлены, не прерваны.

Примечание.

  • JIT-доступ не поддерживает виртуальные машины, защищенные Брандмауэр Azure, контролируемые диспетчером Брандмауэр Azure.
  • Брандмауэр Azure необходимо настроить с помощью правил (классических) и не использовать политики брандмауэра.

Определение виртуальных машин для JIT-доступа

На следующей схеме показана логика применения Defender для серверов при выборе категории поддерживаемых виртуальных машин:

Когда Defender для облака находит компьютер, который может воспользоваться JIT-доступом, он добавляет этот компьютер на вкладку неработоспособных ресурсов рекомендации.

Рекомендации по применению JIT-доступа к виртуальной машине.

Следующие шаги

Включите JIT-доступ на виртуальных машинах.