클라우드용 Microsoft Defender의 서버용 Defender 플랜 2는 Just-In-Time 머신 액세스 기능을 제공합니다. Just-In-Time은 RDP(원격 데스크톱 프로토콜) 또는 SSH(Secure Shell)와 같은 개방형 관리 포트가 있는 머신을 적극적으로 헌팅하는 위협 행위자로부터 리소스를 보호합니다. 모든 컴퓨터는 공격의 잠재적인 대상입니다. 손상되면 컴퓨터는 환경에서 리소스를 추가로 공격하기 위한 진입점 역할을 할 수 있습니다.
공격 노출 영역을 줄이려면 열린 포트, 특히 관리 포트를 최소화합니다. 그러나 합법적인 사용자도 이러한 포트가 필요하므로 포트를 닫은 상태로 유지하는 것은 실용적이지 않습니다.
Defender for Cloud의 Just-In-Time 머신 액세스 기능은 VM(가상 머신)에 대한 인바운드 트래픽을 잠그고, 필요할 때 쉽게 액세스할 수 있도록 하면서 공격에 대한 노출을 줄입니다.
Just-In-Time 액세스 및 네트워크 리소스
Azure
Azure에서 Just-In-Time 액세스를 사용하도록 설정하여 특정 포트에서 인바운드 트래픽을 차단합니다.
- 클라우드용 Defender는 NSG(네트워크 보안 그룹) 및 Azure Firewall 규칙에서 선택한 포트에 대해 “모든 인바운드 트래픽 거부” 규칙이 있는지 확인합니다.
- 이러한 규칙은 Azure VM의 관리 포트에 대한 액세스를 제한하고 공격으로부터 보호합니다.
- 선택한 포트에 대한 다른 규칙이 이미 있는 경우 기존 규칙은 새 "모든 인바운드 트래픽 거부" 규칙보다 우선합니다.
- 선택한 포트에 기존 규칙이 없으면 NSG 및 Azure Firewall에서 새 규칙이 최우선으로 적용됩니다.
Amazon Web Services
AWS(Amazon Web Services)에서 Just-In-Time 액세스를 사용하도록 설정하여 연결된 EC2 보안 그룹(선택한 포트의 경우)에서 관련 규칙을 해지하여 해당 특정 포트의 인바운드 트래픽을 차단합니다.
- 사용자가 VM에 대한 액세스를 요청하면 서버용 Defender는 사용자에게 해당 VM에 대한 Azure RBAC(Azure 역할 기반 액세스 제어) 권한이 있는지 확인합니다.
- 요청이 승인되면 Defender for Cloud는 지정된 시간 동안 관련 IP 주소(또는 범위)에서 선택한 포트로의 인바운드 트래픽을 허용하도록 NSG 및 Azure Firewall을 구성합니다.
- AWS에서 클라우드용 Defender는 지정된 포트에 대한 인바운드 트래픽을 허용하는 새 EC2 보안 그룹을 만듭니다.
- 시간이 만료되면 Defender for Cloud는 NSG를 이전 상태로 복원합니다.
- 이미 설정된 연결은 중단되지 않습니다.
참고 항목
- Just-In-Time 액세스는 Azure Firewall Manager에서 제어하는 Azure Firewall로 보호되는 VM을 지원하지 않습니다.
- Azure Firewall은 규칙(클래식)으로 구성되어야 하며 방화벽 정책을 사용할 수 없습니다.
Just-In-Time 액세스를 위한 VM 식별
다음 다이어그램에서는 지원되는 VM을 분류하는 방법을 결정할 때 서버용 Defender가 적용되는 논리를 보여 줍니다.
클라우드용 Defender Just-In-Time 액세스를 활용할 수 있는 머신을 찾으면 해당 컴퓨터를 권장 사항의 비정상 리소스 탭에 추가합니다.
