Bagikan melalui

Akses mesin just-in-time

  • Artikel

Defender untuk Server Paket 2 di Microsoft Defender untuk Cloud menyediakan fitur akses mesin just-in-time.

Aktor ancaman secara aktif berburu komputer yang dapat diakses dengan port manajemen terbuka, seperti RDP atau SSH. Semua komputer Anda adalah target potensial untuk serangan. Ketika komputer berhasil disusupi, komputer digunakan sebagai titik masuk untuk menyerang sumber daya lebih lanjut di lingkungan.

Untuk mengurangi permukaan serangan, kami menginginkan lebih sedikit port terbuka, terutama port manajemen. Pengguna yang sah juga menggunakan port ini, jadi tidak praktis untuk menutupnya.

Untuk mengatasi dilema ini, Defender untuk Cloud menawarkan akses mesin just-in-time sehingga Anda dapat mengunci lalu lintas masuk ke VM Anda, mengurangi paparan serangan sekaligus memberikan akses mudah untuk terhubung ke VM saat diperlukan. Akses just-in-time tersedia saat Defender untuk Server Paket 2 diaktifkan.

Akses just-in-time dan sumber daya jaringan

Azure

Di Azure, Anda dapat memblokir lalu lintas masuk pada port tertentu, dengan mengaktifkan akses just-in-time.

  • Defender untuk Cloud memastikan aturan "tolak semua lalu lintas masuk" ada untuk port yang Anda pilih di kelompok keamanan jaringan (NSG) danaturan Azure Firewall.
  • Aturan ini membatasi akses ke port manajemen Azure komputer virtual Anda dan mempertahankannya dari serangan.
  • Jika aturan lain sudah ada untuk port yang dipilih, maka aturan yang ada akan lebih diprioritaskan daripada aturan "tolak semua lalu lintas masuk" yang baru.
  • Jika tidak ada aturan yang ada pada port yang dipilih, maka aturan baru akan menjadi prioritas utama di NSG dan Azure Firewall.

AWS

Di AWS, dengan mengaktifkan akses just-in-time, aturan yang relevan dalam grup keamanan EC2 terlampir (untuk port yang dipilih) dicabut, memblokir lalu lintas masuk pada port tertentu tersebut.

  • Saat pengguna meminta akses ke VM, Defender untuk Server memeriksa apakah pengguna memiliki izin kontrol akses berbasis peran Azure (Azure RBAC) untuk VM tersebut.
  • Jika permintaan disetujui, Defender untuk Cloud mengonfigurasi NSG dan Azure Firewall untuk memungkinkan lalu lintas masuk ke port yang dipilih dari alamat IP (atau rentang) yang relevan, untuk jumlah waktu yang ditentukan.
  • Di AWS, Defender untuk Cloud membuat grup keamanan EC2 baru yang memungkinkan lalu lintas masuk ke port yang ditentukan.
  • Setelah waktu kedaluwarsa, Defender untuk Cloud memulihkan NSG ke status sebelumnya
  • Koneksi yang sudah dibuat tidak terganggu.

Catatan

  • Akses just-in-time tidak mendukung VM yang dilindungi oleh Azure Firewall yang dikendalikan oleh Azure Firewall Manager.
  • Azure Firewall harus dikonfigurasi dengan Aturan (Klasik) dan tidak dapat menggunakan kebijakan Firewall.

Mengidentifikasi VM untuk akses just-in-time

Diagram berikut menunjukkan logika yang diterapkan Defender untuk Server saat memutuskan cara mengategorikan VM yang didukung:

Ketika Defender untuk Cloud menemukan mesin yang dapat memperoleh manfaat dari akses just-in-time, komputer tersebut menambahkan komputer tersebut ke tab Sumber daya tidak sehat rekomendasi.

Rekomendasi akses mesin virtual (VM) just-in-time (JIT).

Langkah berikutnya

Aktifkan akses just-in-time pada VM.