使用实时访问保护管理端口

使用 Azure 安全中心的实时 (JIT) 虚拟机 (VM) 访问功能来锁定发往 Azure 虚拟机的入站流量。 这可以降低遭受攻击的可能性,同时在你需要连接到 VM 时让你能够轻松进行访问。

有关 JIT 工作原理和底层逻辑的完整说明,请参阅有关实时的说明

本页介绍如何在安全程序中包括 JIT。 将了解如何执行以下操作:

  • 在 VM 上启用 JIT - 可以使用安全中心、PowerShell 或 REST API,为一个或多个 VM 启用采用你自己的自定义选项的 JIT。 也可以从 Azure 虚拟机使用默认的硬编码参数启用 JIT。 启用后,JIT 会通过在网络安全组中创建规则来锁定发往 Azure VM 的入站流量。
  • 请求访问已启用 JIT 的 VM - JIT 的目标是确保即使在入站流量被锁定的情况下,你也能在需要时通过安全中心轻松进行访问,以便连接到 VM。 你可以通过安全中心、Azure 虚拟机、PowerShell 或 REST API 请求对启用了 JIT 的 VM 进行访问。
  • 审核活动 - 若要确保 VM 得到适当保护,请在常规安全检查过程中评审对启用了 JIT 的 VM 的访问。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 需要用于服务器的 Azure Defender
支持的 VM: 是 通过 Azure 资源管理器部署的 VM。
否 通过经典部署模型部署的 VM。 了解有关这些部署模型的详细信息
否Azure 防火墙管理器控制的 Azure 防火墙保护的 VM
所需角色和权限: “读取者”角色和“安全读取者”角色都可以查看 JIT 状态和参数。
若要创建可与 JIT 配合使用的自定义角色,请参阅配置和使用 JIT 时需要哪些权限?
若要为那些需要请求对 VM 进行 JIT 访问而不执行其他 JIT 操作的用户创建最小特权角色,请使用安全中心 GitHub 社区页面中的 Set-JitLeastPrivilegedRole 脚本
云: 是 中国云

启用 JIT VM 访问

可以使用安全中心或通过编程方式,为一个或多个 VM 启用采用你自己的自定义选项的 JIT VM 访问。

也可以从 Azure 虚拟机使用默认的硬编码参数启用 JIT。

这些选项中的每一个都在下面的单独选项卡中进行了介绍。

从 Azure 安全中心对 VM 启用 JIT

在 Azure 安全中心配置 JIT VM 访问。

可以从安全中心启用和配置 JIT VM 访问。

  1. 打开 Azure Defender 仪表板,从高级保护区域选择“实时 VM 访问”。

    此时会打开“实时 VM 访问”页,你的 VM 会分组到以下多个选项卡中:

    • 已配置 - 已配置为支持实时 VM 访问的 VM。 对于每个 VM,“已配置”选项卡会显示:
      • 过去七天批准的 JIT 请求数
      • 上次访问日期和时间
      • 已配置的连接详细信息
      • 上一个用户
    • 未配置 - 未启用 JIT 但可以支持 JIT 的 VM。 建议为这些 VM 启用 JIT。
    • 不支持 - 未启用 JIT 且不支持该功能的 VM。 你的 VM 出现在此选项卡中可能是因为以下原因:
      • 缺少网络安全组 (NSG) - JIT 要求配置 NSG
      • 经典 VM - JIT 支持通过 Azure 资源管理器而非“经典部署”部署的 VM。 详细了解经典部署模型与 Azure 资源管理器部署模型
      • 其他 - 如果在订阅或资源组的安全策略中禁用了 JIT 解决方案,则你的 VM 可能在此选项卡中。
  2. 从“未配置”选项卡上,将 VM 标记为使用 JIT 进行保护,然后选择“在 VM 上启用 JIT”。

    此时会打开“JIT VM 访问”页,其中列出了安全中心建议保护的端口:

    • 22 - SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    若要接受默认设置,请选择“保存”。

  3. 若要自定义 JIT 选项,请执行以下操作:

    • 使用“添加”按钮添加自定义端口。
    • 从列表中选择默认端口之一,对其进行修改。

    “添加端口配置”窗格为每个端口(自定义端口和默认端口)提供以下选项:

    • 协议 - 批准某个请求时此端口允许的协议
    • 允许的源 IP - 批准某个请求时此端口允许的 IP 范围
    • 最大请求时间 - 可以打开特定端口的最大时间范围
    1. 根据需要设置端口安全性。

    2. 选择“确定” 。

  4. 选择“保存”。

使用安全中心编辑启用了 JIT 的 VM 上的 JIT 配置

可以对 VM 的实时配置进行以下修改:添加并配置要针对该 VM 进行保护的新端口,或更改与已保护的端口相关的任何其他设置。

若要编辑 VM 的现有 JIT 规则,请执行以下操作:

  1. 打开 Azure Defender 仪表板,从高级保护区域选择“实时 VM 访问”。

  2. 在“已配置”选项卡上,右键单击要向其添加端口的 VM,然后选择“编辑”。

    在 Azure 安全中心编辑 JIT VM 访问配置。

  3. 在“JIT VM 访问配置”下,可以编辑已保护的端口的现有设置,也可以添加新的自定义端口。

  4. 编辑完端口后,选择“保存”。

请求访问启用了 JIT 的 VM

可以通过 Azure 门户(在安全中心或 Azure 虚拟机中)或编程方式请求访问启用了 JIT 的 VM。

这些选项中的每一个都在下面的单独选项卡中进行了介绍。

从 Azure 安全中心请求访问启用了 JIT 的 VM

如果 VM 启用了 JIT,则必须请求连接到它所需的访问权限。 不管你启用 JIT 的方式如何,你都可以通过任何受支持的方式请求访问权限。

从安全中心请求 JIT 访问权限。

  1. 从“实时 VM 访问”页选择“已配置”选项卡。

  2. 标记要访问的 VM。

    • “连接详细信息”列中的图标指示是对网络安全组还是对防火墙启用了 JIT。 如果对二者均启用了 JIT,则只会显示防火墙图标。

    • “连接详细信息”列提供连接 VM 所需的信息,及其打开的端口。

  3. 选择“请求访问权限”。 此时会打开“请求访问”窗口。

  4. 在“请求访问”下,为每个 VM 配置要打开的端口、要为其打开该端口的源 IP 地址以及将打开该端口的时间范围。 只能请求访问已配置的端口。 每个端口都有一个从已创建的 JIT 配置派生的最大允许时间。

  5. 选择“打开端口”。

备注

如果请求访问的用户使用代理,则“我的 IP”选项可能无法使用。 可能需要定义组织的完整 IP 地址范围。

审核安全中心的 JIT 访问活动

可以使用日志搜索深入了解 VM 活动。 若要查看日志,请执行以下操作:

  1. 从“实时 VM 访问”选择“已配置”选项卡 。

  2. 对于要审核的 VM,请打开行末尾的省略号菜单。

  3. 从菜单中选择“活动日志”。

    选择实时 (JIT) 活动日志。

    活动日志提供了一个经筛选的视图,其中包含以前针对该 VM 进行的操作以及时间、日期和订阅。

  4. 若要下载日志信息,请选择“以 CSV 格式下载”。

后续步骤

本文介绍了如何设置和使用实时 VM 访问。 若要了解为什么应使用 JIT,请阅读以下概念文章,其中介绍了 JIT 抵御的威胁: