Just-In-Time 存取現可支援 Azure 防火牆
發佈日期: 六月 19, 2019
Just-In-Time (JIT) 虛擬機器 (VM) 存取現可搭配 Azure 防火牆使用。
到目前為止,當您啟用 Just-In-Time 時,資訊安全中心會建立 Just-In-Time 原則,藉由建立網路安全性群組 (NSG) 規則來封鎖輸入 Azure VM 的流量 (按您選擇的連接埠)。現在,受 Azure 防火牆保護的 VM 也可以使用 JIT。
當使用者利用 JIT 原則要求存取 VM 時,資訊安全中心會先檢查該使用者是否擁有可利用 JIT 原則要求存取 VM 的角色型存取控制 (RBAC) 權限。如果使用者具備權限,系統也已核准要求,則資訊安全中心會自動設定 NSG 和 Azure 防火牆規則以允許輸入流量,並含下列限制:
- 流向指定的 VM 連接埠
- 來自要求的來源 IP 位址或範圍
- 限於指定的時間長度
時間到期之後,資訊安全中心會將 NSG 和 Azure 防火牆還原為其先前的狀態。
此外,當系統核准存取受 Azure 防火牆保護 VM 的要求之後,資訊安全中心就會將適當連線詳細資料提供給使用者 (來自 DNAT 資料表的連接埠對應) 以用來連線到 VM。
客戶現在可以使用 JIT 存取受 Azure 防火牆保護的 VM,以保護較大範圍的資源,並進一步限制暴露在攻擊中的程度。若要深入了解,請參閱使用 Just-In-Time 管理虛擬機器存取。