Megosztás a következőn keresztül:

Igény szerint történő gépi hozzáférés

  • Cikk

A Defender for Servers plan 2 in Felhőhöz készült Microsoft Defender egy igény szerint használható géphozzáférést biztosít.

A fenyegetéskezelők aktívan keresnek akadálymentes gépeket nyílt felügyeleti portokkal, például RDP-vel vagy SSH-val. Minden gépe potenciális célpontja egy támadásnak. Ha egy gépet sikeresen feltörnek, a rendszer belépési pontként használja a környezet további erőforrásainak megtámadásához.

A támadási felületek csökkentése érdekében kevesebb nyitott portot szeretnénk, különösen a felügyeleti portokat. A jogos felhasználók is használják ezeket a portokat, ezért nem praktikus bezárni őket.

Ennek a dilemmának a megoldásához Felhőhöz készült Defender igény szerint biztosít gépi hozzáférést, hogy zárolhassa a virtuális gépek bejövő forgalmát, csökkentve a támadásoknak való kitettséget, miközben szükség esetén könnyű hozzáférést biztosít a virtuális gépekhez való csatlakozáshoz. A Defender for Servers 2. csomagjának engedélyezése esetén igény szerint elérhető a hozzáférés.

Igény szerint történő hozzáférés és hálózati erőforrások

Azure

Az Azure-ban az igény szerinti hozzáférés engedélyezésével blokkolhatja a bejövő forgalmat bizonyos portokon.

  • Felhőhöz készült Defender biztosítja, hogy a hálózati biztonsági csoportban (NSG) és az Azure Firewall-szabályokban a kiválasztott portokra "az összes bejövő forgalom megtagadása" szabályok léteznek.
  • Ezek a szabályok korlátozzák az Azure-beli virtuális gépek felügyeleti portjaihoz való hozzáférést, és megvédik őket a támadásoktól.
  • Ha már léteznek más szabályok a kijelölt portokhoz, akkor a meglévő szabályok elsőbbséget élveznek az új "az összes bejövő forgalom megtagadása" szabályokkal szemben.
  • Ha nincsenek meglévő szabályok a kijelölt portokon, akkor az új szabályok elsőbbséget élveznek az NSG-ben és az Azure Firewallban.

AWS

Az AWS-ben az igény szerinti hozzáférés engedélyezésével a csatolt EC2 biztonsági csoportok (a kiválasztott portok) vonatkozó szabályait visszavonják, ami blokkolja az adott portokra irányuló bejövő forgalmat.

  • Amikor egy felhasználó hozzáférést kér egy virtuális géphez, a Defender for Servers ellenőrzi, hogy a felhasználó rendelkezik-e Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC) engedélyekkel az adott virtuális géphez.
  • Ha a kérést jóváhagyják, Felhőhöz készült Defender konfigurálja az NSG-ket és az Azure Firewallt, hogy a megadott időtartamig engedélyezze a kiválasztott portokra irányuló bejövő forgalmat a megfelelő IP-címről (vagy tartományból).
  • Az AWS-ben Felhőhöz készült Defender létrehoz egy új EC2 biztonsági csoportot, amely lehetővé teszi a megadott portokra irányuló bejövő forgalmat.
  • Az idő lejárta után Felhőhöz készült Defender visszaállítja az NSG-ket a korábbi állapotukba
  • A már létrehozott kapcsolatok nincsenek megszakítva.

Feljegyzés

  • Az igény szerinti hozzáférés nem támogatja az Azure Firewall Manager által felügyelt Azure Firewall által védett virtuális gépeket.
  • Az Azure Firewallt szabályokkal (klasszikus) kell konfigurálni, és nem használhat tűzfalszabályzatokat.

Igény szerint elérhető virtuális gépek azonosítása

Az alábbi ábra a Defender for Servers logikáját mutatja be a támogatott virtuális gépek kategorizálásának eldöntésekor:

Amikor Felhőhöz készült Defender talál egy olyan gépet, amely kihasználhatja az igényalapú hozzáférést, hozzáadja a gépet a javaslat nem megfelelő erőforrások lapjára.

Igény szerinti (JIT) virtuális gép (VM) hozzáférési javaslat.

Következő lépések

Engedélyezze az igény szerint történő hozzáférést a virtuális gépeken.