Mendapatkan Microsoft Azure VMs Menggunakan Akses Hanya-Dalam-Masa

Boot Secure Microsoft Windows

Microsoft telah melepaskan beta awam bagi akses Just-In-Time (JIT) untuk Azure VMs. Di dalam ini Tanya Pentadbir, Saya akan melihat bagaimana penyelesaiannya berfungsi dan mengapa anda perlu menggunakannya apabila ia mencapai ketersediaan umum.

Jika anda pernah menyediakan mesin maya atau sumber lain di Microsoft Azure, anda akan mengetahui bahawa secara lalai, Kumpulan Keselamatan Jaringan (NSG) yang dikaitkan dengan sumber tersebut membolehkan akses dari mana-mana alamat IP jika sumber itu diberikan alamat IP awam . Konfigurasi lalai adalah mudah kerana ini bermakna anda boleh menyambung ke sumber dari mana-mana peranti dengan sambungan Internet. Tetapi pada keburukan, begitu juga orang lain. Atau sekurang-kurangnya mereka boleh cuba.

Perlu diingati pada ketika ini walaupun anda percaya sumber Azure anda tidak bernilai kepada orang lain, serangan terhadap sumber awan adalah automatik. Anda tidak perlu menjadi agensi multinasional atau kerajaan besar kerana serangan adalah sewenang-wenangnya. Dalam Microsoft ini blog siaran mengenai subjek itu, penulis menyatakan bahawa ada satu juta peristiwa keselamatan dalam satu minggu pada mesin maya yang tidak dilindungi oleh JIT.

Apakah Akses Dalam Masa sahaja?

Akses Just-Just Administration (JEA) dan Just-In-Time (JIT) adalah alat penting yang boleh meningkatkan keselamatan. Saya telah bercakap tentang JEA sebelum ini Petri dalam siri dua bahagian saya di PowerShell Just Just Administration. Seperti namanya, JEA menyediakan pengguna dengan akses kepada pelayan dengan hanya keistimewaan yang diperlukan untuk melaksanakan satu set tugas tertentu. Toolkit JEA untuk PowerShell membantu organisasi menggunakan PowerShell yang mengehadkan endpoint jauh dengan JEA. Untuk maklumat lanjut mengenai PowerShell JEA, sila lihat artikel berikut mengenai Petri:

PowerShell 5.0 Hanya Cukup Pentadbiran (JEA) Bahagian 1: Memahami JEA dan Mengkonfigurasi Demo Toolkit
PowerShell 5.0 Just Just Administration (JEA) Bahagian 2: Membuat Toolkit dan Memahami Log

Akses JIT juga agak jelas. Daripada memberikan akses kekal kepada sumber, akses JIT melibatkan memberi akses kepada sumber sebelum diperlukan dan untuk tempoh yang terhad. Akses Azure JIT berfungsi dengan menghendaki pengguna meminta akses kepada VM melalui portal pengurusan Azure atau Azure PowerShell. Akses ini diuruskan dengan menggunakan ciri Kawalan Akses Berasaskan Peranan (RBAC) yang telah terbina dalam kepada Azure. Selepas akses diminta, Azure mengubah NSG yang dikaitkan dengan sumber untuk membenarkan akses dan kemudian blok pelabuhan yang dibuka apabila masa akses yang diminta telah berlalu.

Dalam amalan, apa yang berlaku ialah apabila JIT diaktifkan untuk VM, ia menambahkan peraturan menafikan masuk ke NSG berkaitan untuk menyekat akses kepada RDP atau protokol pengurusan jarak jauh yang lain. Apabila pengguna meminta akses, JIT menambah aturan membenarkan dengan keutamaan yang lebih rendah kepada NSG, yang membenarkan akses untuk masa yang diberikan dari alamat IP atau julat alamat yang ditetapkan.

Akses JIT adalah sebahagian daripada Pusat Keselamatan Azure dan memerlukan langganan di peringkat Standard. Ia juga memerlukan VM yang disediakan menggunakan Pengurus Sumber Azure (ARM).

Meminta Akses ke Mesin JIT Access Enabled Maya

Apabila akses JIT disediakan untuk VM, pengguna boleh mengakses VM dengan memilihnya dalam portal pengurusan Azure dan mengklik Minta akses. Pengguna kemudiannya boleh menentukan pelabuhan mana yang hendak dibuka dan berapa lama. Atau terima nilai lalai yang dikonfigurasikan dalam dasar akses JIT. Sebagai alternatif, anda boleh menggunakan cmdlet Invoke-ASCJITAccess PowerShell seperti ditunjukkan di bawah:

Invoke-ASCJITAccess -ResourceGroupName $ ResourceGroupName -VM $ VMName -Port 3389 -Minutes $ minutes -AddressPrefix $ ip

Anda juga boleh mengaudit akses JIT ke VMs menggunakan carian log.

Bagaimana Jika Saya Tidak Mempunyai Tahap Standard Pusat Keselamatan?

Jika anda tidak mahu membayar untuk tiang Standard Pusat Keselamatan, maka anda harus mengkonfigurasi NSGs secara manual untuk membenarkan sambungan ke VM untuk pengurusan jarak jauh dari satu set alamat IP yang terhad. Tetapi ingat, kaedah ini tidak selamat seperti JIT kerana alamat IP boleh dimalskikan dan ancaman boleh datang dari dalam rangkaian korporat anda. Oleh itu, ia adalah yang terbaik untuk membuka sambungan untuk masa yang terhad, walaupun dari alamat IP yang dipercayai. Sekiranya anda ingin mengkonfigurasi NSG secara manual, baca artikel saya Mengkonfigurasi Kumpulan Keselamatan Rangkaian di Microsoft Azure pada Petri.

Akses JIT adalah tambahan yang dialu-alukan kepada Azure, mudah didirikan dan digunakan, dan harus diwajibkan untuk semua VM yang anda gunakan di awan. Untuk mendapatkan arahan terperinci mengenai cara mendayakan akses JIT di Azure, lihat artikel Aidan Finn Azure Just In Time Akses Mesin Maya on Petri.

Jawatan Mendapatkan Microsoft Azure VMs Menggunakan Akses Hanya-Dalam-Masa muncul pertama pada Petri.

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.