Dela via

Just-in-time-datoråtkomst

  • Artikel

Defender for Servers Plan 2 i Microsoft Defender för molnet tillhandahåller en just-in-time-funktion för datoråtkomst.

Hotaktörer jagar aktivt tillgängliga datorer med öppna hanteringsportar, till exempel RDP eller SSH. Alla dina datorer är potentiella mål för en attack. När en dator har komprometterats används den som startpunkt för att attackera ytterligare resurser i miljön.

För att minska angreppsytorna vill vi ha färre öppna portar, särskilt hanteringsportar. Legitima användare använder också dessa portar, så det är inte praktiskt att hålla dem stängda.

För att lösa det här dilemmat erbjuder Defender för molnet just-in-time-datoråtkomst så att du kan låsa den inkommande trafiken till dina virtuella datorer, minska exponeringen för attacker samtidigt som du ger enkel åtkomst till virtuella datorer när det behövs. Just-in-time-åtkomst är tillgänglig när Defender for Servers Plan 2 är aktiverat.

Just-in-time-åtkomst och nätverksresurser

Azure

I Azure kan du blockera inkommande trafik på specifika portar genom att aktivera just-in-time-åtkomst.

  • Defender för molnet ser till att reglerna "neka all inkommande trafik" finns för dina valda portar i nätverkssäkerhetsgruppen (NSG) och Azure Firewall-reglerna.
  • Dessa regler begränsar åtkomsten till dina virtuella Azure-datorers hanteringsportar och skyddar dem mot angrepp.
  • Om det redan finns andra regler för de valda portarna prioriteras de befintliga reglerna framför de nya reglerna "neka all inkommande trafik".
  • Om det inte finns några befintliga regler på de valda portarna har de nya reglerna högsta prioritet i NSG och Azure Firewall.

AWS

Genom att aktivera just-in-time-åtkomst i AWS återkallas relevanta regler i de bifogade EC2-säkerhetsgrupperna (för de valda portarna) och blockerar inkommande trafik på dessa specifika portar.

  • När en användare begär åtkomst till en virtuell dator kontrollerar Defender for Servers att användaren har rollbaserad åtkomstkontroll i Azure (Azure RBAC) för den virtuella datorn.
  • Om begäran godkänns konfigurerar Defender för molnet NSG:erna och Azure Firewall för att tillåta inkommande trafik till de valda portarna från relevant IP-adress (eller intervall) under den tid som angavs.
  • I AWS skapar Defender för molnet en ny EC2-säkerhetsgrupp som tillåter inkommande trafik till de angivna portarna.
  • När tiden har gått ut återställer Defender för molnet NSG:erna till sina tidigare tillstånd
  • Anslutningar som redan har upprättats avbryts inte.

Kommentar

  • Just-in-time-åtkomst stöder inte virtuella datorer som skyddas av Azure Firewalls som styrs av Azure Firewall Manager.
  • Azure Firewall måste konfigureras med regler (klassisk) och kan inte använda brandväggsprinciper.

Identifiera virtuella datorer för just-in-time-åtkomst

Följande diagram visar logiken som Defender för servrar använder när du bestämmer hur du ska kategorisera dina virtuella datorer som stöds:

När Defender för molnet hittar en dator som kan dra nytta av just-in-time-åtkomst läggs datorn till på rekommendationens fliken Ej felfria resurser.

Rekommendation om jit-åtkomst (just-in-time) för virtuell dator (VM).

Nästa steg

Aktivera just-in-time-åtkomst på virtuella datorer.