实时访问现支持 Azure 防火墙
发布日期:六月 19, 2019
实时 (JIT) 虚拟机 (VM) 访问现在可与 Azure 防火墙配合使用。
到目前为止,启用实时功能后,安全中心通过创建网络安全组 (NSG) 规则来创建实时策略,将入站流量锁定到 Azure VM(在所选端口上)。现在,JIT 还可用于受 Azure 防火墙保护的 VM。
用户使用 JIT 策略请求访问 VM 时,安全中心首先会检查该用户是否具有使用 JIT 策略请求访问 VM 所需的基于角色的访问控制 (RBAC) 权限。如果用户具有权限且请求获得批准,安全中心自动配置 NSG 和 Azure 防火墙规则,使其允许受以下限制的入站流量:
- 流向指定的 VM 端口
- 来自所请求的源 IP 地址或范围
- 在规定的时间内
在该时间到期后,安全中心会将 NSG 和 Azure 防火墙还原为二者以前的状态。
此外,在受 Azure 防火墙保护的 VM 的请求获得批准后,安全中心会为用户提供用于连接到 VM 的正确连接详细信息(来自 DNAT 表的端口映射)。
对受 Azure 防火墙保护的 VM 使用 JIT 访问,客户现可保护更广泛的资源,并进一步限制受到攻击的风险。有关详细信息,请参阅使用实时功能管理虚拟机访问。