1.了解JIT
Azure 安全中心提供了一种高级云安全防御解决方案---实时(JIT)VM访问 。实时 (JIT) 虚拟机访问可用来锁定发往 Azure VM 的入站流量,降低遭受***的可能性,同时在需要时还可轻松连接到 VM。实时 VM 访问可以通过阻止到特定端口的入站流量来锁定网络级别中的 VM。借助此功能,可以通过允许仅基于特定需求的访问来控制对 VM 的访问并减少对其的***面。暴力***通常以***管理端口为手段来获取对 VM 的访问权限。 如果成功,则***者可以获得对 VM 的控制权并建立通向你的环境的据点。降低遭受暴力***的可能性的一种方法是限制端口处于打开状态的时间量。 管理端口不需要始终处于打开状态。 它们只需要在特定的时间打开,例如在你连接到 VM 来执行管理或维护任务时。 如果启用了实时功能,安全中心会使用网络安全组 (NSG) 规则,这些规则将限制对管理端口的访问以使其不会成为***者的目标。
那么JIT访问如何工作?启用JIT,安全中心通过创建NSG规则来锁定Azure VM的入站流量。您可以选择要锁定入站流量的VM上的端口。这些端口由即时解决方案控制。当用户请求访问VM时,安全中心会检查用户是否具有允许他们成功请求访问VM 的基于角色的访问控制(RBAC)权限。如果请求获得批准,安全中心会自动配置网络安全组(NSG),以允许所选端口和请求的源IP地址或范围的入站流量达到指定的时间。时间过后,安全中心将NSG恢复到之前的状态。但是,已经建立的那些连接不会被中断。
2.为Azure VM开启JIT
那么接下来我们来看下如何为VM开启JIT。
1)在 Azure 门户中,选择“虚拟机”。
2)单击要实行实时访问限制的虚拟机。
3)在菜单中,单击“配置”。
4)在“实时访问”下,单击“启用实时策略”。
如下图
启用实时访问后,可以点击“打开Azure 安全中心” 以进一步编辑或禁用策略。
选择虚拟机,设置请求访问
在请求访问窗口中,选择要打开的端口,点击开,IP范围,填写IP范围,然后点击打开窗口
在 Azure 门户中,尝试连接到 VM 时,Azure 会检查是否在该 VM 上配置实时访问策略。如果在 VM 上配置了 JIT 策略,则可以单击“请求访问”,以便根据 VM 的 JIT 策略集进行访问。
Azure 会检查访问策略,允许访问的话会收到如下图中1的提示,然后可以继续后续的连接访问 。
3.审核 JIT 访问活动
可以使用日志搜索深入了解 VM 活动。 若要查看日志,请执行以下操作:
1)在“实时 VM 访问”下,选择“已配置”选项卡。
2)在“VM”下,通过单击 VM 对应的行内的三个点来选择要查看其信息的 VM。 这将打开一个菜单。
3)在菜单中选择“活动日志”。 这将打开“活动日志”。
“活动日志”提供了该 VM 的以前操作的经筛选视图以及时间、日期和订阅。可以通过选择“单击此处将所有项下载为 CSV”来下载日志信息。修改筛选器并选择“应用”来创建搜索和日志。