Dostęp just-in-time teraz obsługuje usługę Azure Firewall

Opublikowano: środa, 19 czerwca 2019


Dostęp just-in-time do maszyny wirtualnej jest teraz możliwy za pomocą usługi Azure Firewall.
 
Do teraz włączenie funkcji just-in-time powodowało, że usługa Security Center tworzyła zasady just-in-time, które blokowały ruch przychodzący do maszyn wirtualnych platformy Azure (na wybranych portach), przez utworzenie reguły sieciowych grup zabezpieczeń. Teraz dostęp JIT jest także możliwy w przypadku maszyn wirtualnych chronionych przez usługę Azure Firewall.
 
Gdy użytkownik żąda dostępu do maszyny wirtualnej za pomocą zasad JIT, usługa Security Center najpierw sprawdza, czy użytkownik ma uprawnienia w ramach funkcji kontroli dostępu opartej na rolach wymagane do żądania dostępu do maszyny wirtualnej za pomocą zasad JIT. Jeśli użytkownik ma uprawnienia i żądanie zostanie zatwierdzone, usługa Security Center automatycznie konfiguruje reguły sieciowej grupy zabezpieczeń i usługi Azure Firewall tak, aby zezwolić na ruch przychodzący z następującymi ograniczeniami:
  • Na określone porty maszyny wirtualnej
  • Z żądanych źródłowych adresów IP lub zakresów adresów IP
  • Przez określony czas
Po upłynięciu czasu usługa Security Center przywraca poprzednie stany sieciowych grup zabezpieczeń i usług Azure Firewall. 
 
Dodatkowo po zatwierdzeniu żądania dla maszyny wirtualnej chronionej przez usługę Azure Firewall usługa Security Center udostępnia użytkownikowi odpowiednie szczegóły połączenia (mapowanie portu z tabeli DNAT) do użycia na potrzeby nawiązania połączenia z maszyną wirtualną.
 
Korzystając z dostępu JIT do maszyn wirtualnych chronionych przez usługę Azure Firewall, klienci mogą teraz chronić więcej rodzajów zasobów i jeszcze bardziej ograniczyć podatność na ataki. Aby dowiedzieć się więcej, zobacz Manage virtual machine access using just-in-time (Zarządzanie dostępem do maszyn wirtualnych przy użyciu funkcji just-in-time).
 
  • Security Center
  • Security