如何使用Azure VM訪問功能保護Azure VM？

前面和大家了聊了如何對運行在Azure中的工作負載進行全方位的監(jiān)控，但是想必大家都知道，若要保證系統(tǒng)的正常運行我們不僅要實時的監(jiān)控系統(tǒng)的負載，還要確保系統(tǒng)的安全。那么接下來我們就一起來看一下如何使用Azure安全中心所提供的即時VM訪問（ Just in Time VM Access）功能來保護Azure VM

即使VM訪問是Azure安全中心中的一個功能，通過即時VM訪問，我們可以通過阻止到特定端口的入站流量來在網(wǎng)絡(luò)級別鎖定VM，從而減少對VM的***面，同時他也保持在需要時可以遠程訪問VM的能力。即時訪問在Azure安全中心的標準曾中可用，并且只支持通過ARM部署的VM。從技術(shù)的角度看，即時VM訪問是通過想VM的NSG添加了一些入站拒絕規(guī)則，從而阻塞了對所配置端口的訪問。當請求訪問時，一個新的較低有限級別的允許規(guī)則被添加到NSG中，因此在給定時間和給定源IP內(nèi)收于授予訪問權(quán)限。

當過了允許訪問的時間范圍以后，即時VM訪問會自動刪除允許規(guī)則并在此激活拒絕規(guī)則。

說了這么多，下面我們就一起來看一下如何使用即時VM訪問來保護我們的Azure VM

導(dǎo)航到“Azure 安全中心”--點擊“即時VM訪問”：

點擊“推薦”：

選中需要我們需要的VM，然后點擊“啟用即時訪問”：

若要啟用該功能，我們必須配置適用于即時VM訪問的端口，在這里Azure給出了一些建議性的端口，同時我們也可以自己設(shè)計一些訪問規(guī)則：

就我們本次實驗而言，我會自己配置需要的端口。首先我們刪除所有推薦的端口，然后點擊“Add”：
在這里我們可以配置每次允許訪問的時間。

配置完成以后，我們可以在“Configured”選項卡看到我們已經(jīng)配置好的虛擬機：

現(xiàn)在我們可以嘗試使用RDP協(xié)議去與我們的目標虛擬機建立繪畫，但是由于NSG上配置了3389端口的deny規(guī)則，所以我們無法訪問虛擬機：

若我們想允許用戶訪問，則可以通過在Azure安全中心選中需要訪問的虛擬機，然后點擊“請求訪問”：

然后我們需要打開端口，同時設(shè)置允許的源IP范圍和允許訪問的時間范圍：

配置完成后，我們就可在我們所允許的地址范圍內(nèi)使用RDP協(xié)議和目標VM建立會話：

到這里我們就給大家演示了如何使用即時VM訪問來對我們的Azure VM進行保護。其實這是一個很好的功能，他允許或拒絕對Azure中VM的訪問，從而可以使我們的服務(wù)器更加安全