JIT-доступ теперь поддерживается в Брандмауэре Azure

Опубликовано 19 июня 2019 г.


Теперь с Брандмауэром Azure можно использовать JIT-доступ к виртуальным машинам.
 
Ранее при включении JIT Центр безопасности создавал политику JIT, которая блокировала входящий трафик на виртуальные машины Azure (на указанных вами портах), генерируя правило группы безопасности сети (NSG). Теперь JIT-доступ возможен также для виртуальных машин, защищенных Брандмауэром Azure.
 
Когда пользователь запрашивает доступ к виртуальной машине с политикой JIT, Центр безопасности проверяет наличие у пользователя разрешений управления доступом на основе ролей (RBAC), которые позволяют запрашивать такой доступ. Если разрешения есть и доступ утвержден, Центр безопасности автоматически настраивает правила NSG и Брандмауэра Azure, чтобы разрешить входящий трафик со следующими ограничениями:
  • только на указанные порты виртуальной машины;
  • только из запрошенного исходного IP-адреса или диапазона адресов;
  • только на указанный период времени.
По истечении этого времени Центр безопасности восстанавливает прежнее состояние групп безопасности сети и Брандмауэра Azure. 
 
Кроме того, после утверждения запроса для защищенной Брандмауэром Azure виртуальной машины Центр безопасности предоставляет пользователю данные соединения (сопоставление портов из таблицы DNAT), необходимые для подключения к виртуальной машине.
 
Используя JIT-доступ к виртуальным машинам, защищенным Брандмауэром Azure, клиенты могут обеспечить безопасность большего количества ресурсов и снизить вероятность атак. Дополнительные сведения см. в статье Manage virtual machine access using just-in-time (Управление доступом к виртуальным машинам с помощью JIT).