使用JIT管理Azure VM訪問(wèn)

發(fā)布時(shí)間：2020-08-09 00:51:24 來(lái)源：網(wǎng)絡(luò) 閱讀：410 作者：huangbowen2005 欄目：云計(jì)算

1.了解JIT???????

Azure 安全中心提供了一種高級(jí)云安全防御解決方案---實(shí)時(shí)（JIT)VM訪問(wèn) 。實(shí)時(shí) (JIT) 虛擬機(jī)訪問(wèn)可用來(lái)鎖定發(fā)往 Azure VM 的入站流量，降低遭受***的可能性，同時(shí)在需要時(shí)還可輕松連接到 VM。實(shí)時(shí) VM 訪問(wèn)可以通過(guò)阻止到特定端口的入站流量來(lái)鎖定網(wǎng)絡(luò)級(jí)別中的 VM。借助此功能，可以通過(guò)允許僅基于特定需求的訪問(wèn)來(lái)控制對(duì) VM 的訪問(wèn)并減少對(duì)其的***面。暴力***通常以***管理端口為手段來(lái)獲取對(duì) VM 的訪問(wèn)權(quán)限。如果成功，則***者可以獲得對(duì) VM 的控制權(quán)并建立通向你的環(huán)境的據(jù)點(diǎn)。降低遭受暴力***的可能性的一種方法是限制端口處于打開(kāi)狀態(tài)的時(shí)間量。管理端口不需要始終處于打開(kāi)狀態(tài)。它們只需要在特定的時(shí)間打開(kāi)，例如在你連接到 VM 來(lái)執(zhí)行管理或維護(hù)任務(wù)時(shí)。如果啟用了實(shí)時(shí)功能，安全中心會(huì)使用網(wǎng)絡(luò)安全組 (NSG) 規(guī)則，這些規(guī)則將限制對(duì)管理端口的訪問(wèn)以使其不會(huì)成為***者的目標(biāo)。

那么JIT訪問(wèn)如何工作？啟用JIT，安全中心通過(guò)創(chuàng)建NSG規(guī)則來(lái)鎖定Azure VM的入站流量。您可以選擇要鎖定入站流量的VM上的端口。這些端口由即時(shí)解決方案控制。當(dāng)用戶請(qǐng)求訪問(wèn)VM時(shí)，安全中心會(huì)檢查用戶是否具有允許他們成功請(qǐng)求訪問(wèn)VM 的基于角色的訪問(wèn)控制（RBAC）權(quán)限。如果請(qǐng)求獲得批準(zhǔn)，安全中心會(huì)自動(dòng)配置網(wǎng)絡(luò)安全組（NSG），以允許所選端口和請(qǐng)求的源IP地址或范圍的入站流量達(dá)到指定的時(shí)間。時(shí)間過(guò)后，安全中心將NSG恢復(fù)到之前的狀態(tài)。但是，已經(jīng)建立的那些連接不會(huì)被中斷。

2.為Azure VM開(kāi)啟JIT

那么接下來(lái)我們來(lái)看下如何為VM開(kāi)啟JIT。

1）在 Azure 門戶中，選擇“虛擬機(jī)”。

2）單擊要實(shí)行實(shí)時(shí)訪問(wèn)限制的虛擬機(jī)。

3）在菜單中，單擊“配置”。

4）在“實(shí)時(shí)訪問(wèn)”下，單擊“啟用實(shí)時(shí)策略”。

如下圖

使用JIT管理Azure VM訪問(wèn)

啟用實(shí)時(shí)訪問(wèn)后，可以點(diǎn)擊“打開(kāi)Azure 安全中心” 以進(jìn)一步編輯或禁用策略。

使用JIT管理Azure VM訪問(wèn)

選擇虛擬機(jī)，設(shè)置請(qǐng)求訪問(wèn)

使用JIT管理Azure VM訪問(wèn)

在請(qǐng)求訪問(wèn)窗口中，選擇要打開(kāi)的端口，點(diǎn)擊開(kāi)，IP范圍，填寫IP范圍，然后點(diǎn)擊打開(kāi)窗口

使用JIT管理Azure VM訪問(wèn)

在 Azure 門戶中，嘗試連接到 VM 時(shí)，Azure 會(huì)檢查是否在該 VM 上配置實(shí)時(shí)訪問(wèn)策略。如果在 VM 上配置了 JIT 策略，則可以單擊“請(qǐng)求訪問(wèn)”，以便根據(jù) VM 的 JIT 策略集進(jìn)行訪問(wèn)。

使用JIT管理Azure VM訪問(wèn)