使用实时访问保护管理端口

使用 Microsoft Defender for Cloud 的实时 (JIT) 虚拟机 (VM) 访问功能锁定发往 Azure 虚拟机的入站流量。 这可以降低遭受攻击的可能性,同时在你需要连接到 VM 时让你能够轻松进行访问。

有关 JIT 工作原理和底层逻辑的完整说明,请参阅有关实时的说明

有关权限要求的完整说明,请参阅配置和使用 JIT 需要哪些权限?

本页介绍如何在安全程序中包括 JIT。 将了解如何执行以下操作:

  • 在 VM 上启用 JIT - 可以使用 Defender for Cloud、PowerShell 或 REST API 通过自己的自定义选项为一个或多个 VM 启用 JIT。 也可以从 Azure 虚拟机使用默认的硬编码参数启用 JIT。 启用后,JIT 会通过在网络安全组中创建规则来锁定发往 Azure VM 的入站流量。
  • 请求访问已启用 JIT 的 VM - JIT 旨在确保即使入站流量已锁定,Defender for Cloud 仍可在需要时便于你访问并连接到 VM。 可以从 Defender for Cloud、Azure 虚拟机、PowerShell 或 REST API 请求访问启用了 JIT 的 VM。
  • 审核活动 - 若要确保 VM 得到适当保护,请在常规安全检查过程中评审对启用了 JIT 的 VM 的访问。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
支持的 VM: 通过 Azure 资源管理器部署的 VM。
通过经典部署模型部署的 VM。 了解有关这些部署模型的详细信息
Azure 防火墙管理器控制的 Azure 防火墙1 保护的 VM。
所需角色和权限: “读取者”角色和“安全读取者”角色都可以查看 JIT 状态和参数。
若要创建可与 JIT 配合使用的自定义角色,请参阅配置和使用 JIT 时需要哪些权限?
若要为需要请求对 VM 的 JIT 访问权限的用户创建最低特权角色,并且不执行任何其他 JIT 操作,请使用 Defender for Cloud GitHub 社区页中的 Set-JitLeastPrivilegedRole 脚本
云: Azure 中国

1 对于受 Azure 防火墙保护的任何 VM,如果虚拟机与防火墙位于同一 VNET 中,JIT 只能为该计算机提供完全保护。 使用 VNET 对等互连的 VM 不会受到完全保护。

启用 JIT VM 访问

可以使用 Defender for Cloud 或以编程方式通过自己的自定义选项为一个或多个 VM 启用 JIT VM 访问。

也可以从 Azure 虚拟机使用默认的硬编码参数启用 JIT。

这些选项中的每一个都在下面的单独选项卡中进行了介绍。

从 Microsoft Defender for Cloud 在 VM 上启用 JIT

Configuring JIT VM access in Microsoft Defender for Cloud.

从 Defender for Cloud 可以启用和配置 JIT VM 访问。

  1. 打开“工作负载保护”仪表板并从“高级保护”区域选择“实时 VM 访问” 。

    此时会打开“实时 VM 访问”页,你的 VM 会分组到以下多个选项卡中:

    • 已配置 - 已配置为支持实时 VM 访问的 VM。 对于每个 VM,“已配置”选项卡会显示:
      • 过去七天批准的 JIT 请求数
      • 上次访问日期和时间
      • 已配置的连接详细信息
      • 上一个用户
    • 未配置 - 未启用 JIT 但可以支持 JIT 的 VM。 建议为这些 VM 启用 JIT。
    • 不支持 - 未启用 JIT 且不支持该功能的 VM。 你的 VM 出现在此选项卡中可能是因为以下原因:
      • 缺少网络安全组 (NSG) 或 Azure 防火墙 - JIT 要求配置 NSG 和/或提供防火墙配置
      • 经典 VM - JIT 支持通过 Azure 资源管理器而非“经典部署”部署的 VM。 详细了解经典部署模型与 Azure 资源管理器部署模型
      • 其他 - 如果在订阅或资源组的安全策略中禁用了 JIT 解决方案,则你的 VM 可能在此选项卡中。
  2. 从“未配置”选项卡上,将 VM 标记为使用 JIT 进行保护,然后选择“在 VM 上启用 JIT”。

    JIT VM 访问页随即打开,列出 Defender for Cloud 建议保护的端口:

    • 22 - SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    若要接受默认设置,请选择“保存”。

  3. 若要自定义 JIT 选项,请执行以下操作:

    • 使用“添加”按钮添加自定义端口。
    • 从列表中选择默认端口之一,对其进行修改。

    “添加端口配置”窗格为每个端口(自定义端口和默认端口)提供以下选项:

    • 协议 - 批准某个请求时此端口允许的协议
    • 允许的源 IP - 批准某个请求时此端口允许的 IP 范围
    • 最大请求时间 - 可以打开特定端口的最大时间范围
    1. 根据需要设置端口安全性。

    2. 选择“确定” 。

  4. 选择“保存”。

使用 Defender for Cloud 在启用了 JIT 的 VM 上编辑 JIT 配置

可以对 VM 的实时配置进行以下修改:添加并配置要针对该 VM 进行保护的新端口,或更改与已保护的端口相关的任何其他设置。

若要编辑 VM 的现有 JIT 规则,请执行以下操作:

  1. 打开“工作负载保护”仪表板并从“高级保护”区域选择“实时 VM 访问” 。

  2. 在“已配置”选项卡上,右键单击要向其添加端口的 VM,然后选择“编辑”。

    Editing a JIT VM access configuration in Microsoft Defender for Cloud.

  3. 在“JIT VM 访问配置”下,可以编辑已保护的端口的现有设置,也可以添加新的自定义端口。

  4. 编辑完端口后,选择“保存”。

请求访问启用了 JIT 的 VM

通过 Azure 门户(在 Defender for Cloud 或 Azure 虚拟机中)或以编程方式可以请求访问启用了 JIT 的 VM。

这些选项中的每一个都在下面的单独选项卡中进行了介绍。

从 Microsoft Defender for Cloud 请求访问启用了 JIT 的 VM

如果 VM 启用了 JIT,则必须请求连接到它所需的访问权限。 不管你启用 JIT 的方式如何,你都可以通过任何受支持的方式请求访问权限。

Requesting JIT access from Defender for Cloud.

  1. 从“实时 VM 访问”页选择“已配置”选项卡。

  2. 标记要访问的 VM。

    • “连接详细信息”列中的图标指示是对网络安全组还是对防火墙启用了 JIT。 如果对二者均启用了 JIT,则只会显示防火墙图标。

    • “连接详细信息”列提供连接 VM 所需的信息,及其打开的端口。

  3. 选择“请求访问权限”。 此时会打开“请求访问”窗口。

  4. 在“请求访问”下,为每个 VM 配置要打开的端口、要为其打开该端口的源 IP 地址以及将打开该端口的时间范围。 只能请求访问已配置的端口。 每个端口都有一个从已创建的 JIT 配置派生的最大允许时间。

  5. 选择“打开端口”。

注意

如果请求访问的用户使用代理,则“我的 IP”选项可能无法使用。 可能需要定义组织的完整 IP 地址范围。

在 Defender for Cloud 中审核 JIT 访问活动

可以使用日志搜索深入了解 VM 活动。 若要查看日志,请执行以下操作:

  1. 从“实时 VM 访问”选择“已配置”选项卡 。

  2. 对于要审核的 VM,请打开行末尾的省略号菜单。

  3. 从菜单中选择“活动日志”。

    Select just-in-time JIT activity log.

    活动日志提供了一个经筛选的视图,其中包含以前针对该 VM 进行的操作以及时间、日期和订阅。

  4. 若要下载日志信息,请选择“以 CSV 格式下载”。

后续步骤

本文介绍了如何配置和使用实时 VM 访问。 若要了解为什么应使用 JIT,请阅读以下概念文章,其中介绍了 JIT 抵御的威胁: