V dnešní době jsou bezpečnostní hrozby na internetu stále větším problémem. Zabezpečení virtuálních strojů (VM) je jedním z klíčových aspektů, které musíte zvážit. Azure nabízí širokou škálu nástrojů pro zabezpečení infrastruktury, a jedním z nich je "Just-in-Time Virtual Machine Access" (JIT).
Co je Just-in-Time Virtual Machine Access?
Just-in-Time Virtual Machine Access (JIT) je funkce Azure, která umožňuje omezit přístup ke svým virtuálním strojům, a to jen v situacích, kdy je to nezbytně nutné. To znamená, že uživatelé nebo administrátoři mohou získat přístup k virtuálním strojům pouze na krátkou dobu a pouze tehdy, když to opravdu potřebují. Tímto způsobem se minimalizuje možnost útoků a zvyšuje se celková bezpečnost.
Vytvoření bezpečného přístupu do Azure VM
Nejdříve je zapotřebí mít splněné tyto prerekvizity:
- Aktivní účet na Azure portálu.
- Běžící virtuálku.
- Network security group (NSG) připojenou do subnety naší běžící virtuálky.
- Aktivní Microsoft Defender for servers plán 2.
- Nemít zakázané použití JIT bezpečnostní politikou.
Spuštění JIT na naší vybrané virtuálce
Jako první krok jdeme na naší virtuálku do jejího nastavení a zapneme JIT na dané virtuálce:
Poté jdeme do "Microsoft Defender for Cloud" a klikneme na "Workload protection" a vybereme si "Just-in-time Vm access" dlaždici.
Následně bychom měli vidět stroje, které jsou správně nakonfigurované, které nejsou správně nakonfigurované, nebo nepodporované.
Pokud máte svoji virtuálku v nepodporovaných strojích, pak je zapotřebí vědět proč. Buď nemáte nastavený NSG do subnety u Vaše stroje, nebo není povolený JIT v konfiguraci virtuálky, nebo máte bezpečnostní politikou JIT zakázaný.
V tabu "Configured" si zaklikneme náš stroj a klikneme na request access.
Na stránce request access si můžeme vybrat jaký chceme port a jaké IP adresy jsou povolené. Můžeme dát jednu specifickou IP adresu, nebo všechny nebo jen specifický rozsah adres. Nakonec vybereme na jak dlouho chceme poskytnout přístup do virtuálky a klikneme na otevřít porty.
Jakmile potvrdíme stane se několik věcí:
- Otevře se nám příslušný port 3389 na RDP po omezenou dobu například 3 hodin.
- Port je otevřený na NSG na omezenou dobu v Inbound security rules.
- Po uplynutí doby se port uzavře.
- Ani po 3 hodinách, kdy se zavře port, tak otevřené vzdálené plochy se nezavřou! Spojení jede dál!
Není doporučeno tyto porty jakýmkoliv způsobem manuálně mazat či do nich zasahovat. Samy se smažou, jakmile uplyne doba po kterou jsou otevřeny.
Poté se můžeme v klidu před vzdálenou plochu připojit k naší virtuálce z naší IP adresy a v klidu udělat co potřebujeme a poté zavřít vzdálenou plochu a s tím se i uzavřou dané porty a virtuálka je i nadále chráněná.
Závěr
Just-in-Time Virtual Machine Access v Azure je mocný nástroj pro zlepšení bezpečnosti virtuálních strojů v cloudu. Tím, že umožňuje přístup pouze tehdy, kdy je to nezbytně nutné, snižuje možnost útoků a chrání vaši infrastrukturu. S návodem výše byste měli být schopni efektivně nastavit JIT Access pro vaše virtuální stroje v Azure a zvýšit tak jejich bezpečnost. Nezapomeňte pravidla pro přístup pečlivě konfigurovat tak, aby vyhovovala vašim bezpečnostním potřebám.