Microsoft Defender for Cloud の Defender for Servers プラン 2 には、Just-In-Time マシン アクセス機能が用意されています。 Just-In-Time は、リモート デスクトップ プロトコル (RDP) や Secure Shell (SSH) などのオープンな管理ポートを持つマシンを積極的に検出する脅威アクターからリソースを保護します。 すべてのマシンは、攻撃の対象となる可能性があります。 侵害されると、マシンは環境内のリソースをさらに攻撃するためのエントリ ポイントとして機能できます。
攻撃対象領域を減らすには、開いているポート (特に管理ポート) を最小限に抑えます。 ただし、正当なユーザーにはこれらのポートも必要であり、閉じたままにしておくのは現実的ではありません。
Defender for Cloud の Just-In-Time マシン アクセス機能は、仮想マシン (VM) への受信トラフィックをロックダウンし、攻撃にさらされるのを減らし、必要に応じて簡単にアクセスできるようにします。
Just-In-Time アクセスとネットワーク リソース
Azure
Azure で Just-In-Time アクセスを有効にして、特定のポートの受信トラフィックをブロックします。
- Defender for Cloud では、ネットワーク セキュリティ グループ (NSG) と Azure Firewall 規則で選択したポートに対して "すべての受信トラフィックを拒否" 規則が確実に存在しています。
- これらの規則により、Azure VM の管理ポートへのアクセスが制限され、攻撃から保護されます。
- 選択したポートに対して他の規則が既に存在する場合、これらの既存の規則は、新しい "すべての受信トラフィックを拒否する" 規則よりも優先されます。
- 選択したポートに既存の規則がない場合は、NSG と Azure Firewall で新しい規則が最も優先されます。
アマゾン ウェブ サービス
アマゾン ウェブ サービス (AWS) で、Just-In-Time アクセスを有効にして、アタッチされた EC2 セキュリティ グループ (選択したポート) の関連ルールを取り消し、それらの特定のポートでの受信トラフィックをブロックします。
- ユーザーが VM へのアクセスを要求すると、Defender for Servers によってそのユーザーが VM に対する Azure ロール ベースのアクセス制御 (Azure RBAC) アクセス許可を持っているかどうかがチェックされます。
- 要求が承認されると、Defender for Cloud は NSG と Azure Firewall を構成して、指定された時間、関連する IP アドレス (または範囲) から選択したポートへの受信トラフィックを許可します。
- AWS では、Defender for Cloud によって、指定したポートへの受信トラフィックを許可する新しい EC2 セキュリティ グループが作成されます。
- 時間が経過すると、Defender for Cloud は NSG を以前の状態に復元します。
- 既に確立している接続は中断されません。
Note
- Just-In-Time アクセスでは、Azure Firewall Manager によって制御される Azure Firewall によって保護された VM はサポートされません。
- Azure Firewall は、ルール (クラシック) を使用して構成する必要があり、ファイアウォール ポリシーを使用することはできません。
Just-In-Time アクセス用の VM を識別する
次の図は、サポートされている VM の分類を決定するときに Defender for Servers で適用されるロジックを示したものです。
Just-In-Time アクセスの利点を得られるマシンが Defender for Cloud で検出されると、そのマシンが推奨事項の [異常なリソース] タブに追加されます。
