使用JIT管理Azure VM訪問

1.了解JIT???????

Azure 安全中心提供了一種高級云安全防御解決方案---實時（JIT)VM訪問 。實時 (JIT) 虛擬機訪問可用來鎖定發往 Azure VM 的入站流量，降低遭受***的可能性，同時在需要時還可輕松連接到 VM。實時 VM 訪問可以通過阻止到特定端口的入站流量來鎖定網絡級別中的 VM。借助此功能，可以通過允許僅基于特定需求的訪問來控制對 VM 的訪問并減少對其的***面。暴力***通常以***管理端口為手段來獲取對 VM 的訪問權限。 如果成功，則***者可以獲得對 VM 的控制權并建立通向你的環境的據點。降低遭受暴力***的可能性的一種方法是限制端口處于打開狀態的時間量。 管理端口不需要始終處于打開狀態。 它們只需要在特定的時間打開，例如在你連接到 VM 來執行管理或維護任務時。 如果啟用了實時功能，安全中心會使用網絡安全組 (NSG) 規則，這些規則將限制對管理端口的訪問以使其不會成為***者的目標。

那么JIT訪問如何工作？啟用JIT，安全中心通過創建NSG規則來鎖定Azure VM的入站流量。您可以選擇要鎖定入站流量的VM上的端口。這些端口由即時解決方案控制。當用戶請求訪問VM時，安全中心會檢查用戶是否具有允許他們成功請求訪問VM 的基于角色的訪問控制（RBAC）權限。如果請求獲得批準，安全中心會自動配置網絡安全組（NSG），以允許所選端口和請求的源IP地址或范圍的入站流量達到指定的時間。時間過后，安全中心將NSG恢復到之前的狀態。但是，已經建立的那些連接不會被中斷。

2.為Azure VM開啟JIT

那么接下來我們來看下如何為VM開啟JIT。

1）在 Azure 門戶中，選擇“虛擬機”。

2）單擊要實行實時訪問限制的虛擬機。

3）在菜單中，單擊“配置”。

4）在“實時訪問”下，單擊“啟用實時策略”。

如下圖

啟用實時訪問后，可以點擊“打開Azure 安全中心” 以進一步編輯或禁用策略。

選擇虛擬機，設置請求訪問

在請求訪問窗口中，選擇要打開的端口，點擊開，IP范圍，填寫IP范圍，然后點擊打開窗口

在 Azure 門戶中，嘗試連接到 VM 時，Azure 會檢查是否在該 VM 上配置實時訪問策略。如果在 VM 上配置了 JIT 策略，則可以單擊“請求訪問”，以便根據 VM 的 JIT 策略集進行訪問。

Azure 會檢查訪問策略，允許訪問的話會收到如下圖中1的提示，然后可以繼續后續的連接訪問 。

3.審核 JIT 訪問活動

可以使用日志搜索深入了解 VM 活動。 若要查看日志，請執行以下操作：

1）在“實時 VM 訪問”下，選擇“已配置”選項卡。

2）在“VM”下，通過單擊 VM 對應的行內的三個點來選擇要查看其信息的 VM。 這將打開一個菜單。

3）在菜單中選擇“活動日志”。 這將打開“活動日志”。

“活動日志”提供了該 VM 的以前操作的經篩選視圖以及時間、日期和訂閱。可以通過選擇“單擊此處將所有項下載為 CSV”來下載日志信息。修改篩選器并選擇“應用”來創建搜索和日志。