Korlátozott adminisztrátori hozzáférés = nagyobb biztonság

Korlátozhatóvá vált az Azure virtuális gépek elérése az adminisztrátorok számára. A Just in time hozzáférés célja az admin portokon terjedő támadások kiszűrése.

Számos kártevő és támadás célozza az adminisztrációs feladatokra nyitva hagyott portokat. A kockázatok csökkentése érdekében az Azure-ban megjelent a Just in time (“JIT”) adminisztrációs képesség, amely a gyakorlatban annyit tesz, hogy a VM-ekhez csak korlázotott ideig engedünk hozzáférést az rendszerüzemeltetésre szolgáló portokon keresztül, egyéb esetben pedig tiltjuk a forgalmat.

Az Azure-ban futó virtuális gépek létrehozásakor az RDP (Windows), illetve az SSH (Linux) protokollok által használt portokon alapesetben engedélyezett a forgalom, hogy a VM-eket felügyelő adminok el tudják látni a feladataikat. A JIT hozzáférés engedélyezése esetén a portokon alapesetben tiltott minden hálózati forgalom és csak külön igény esetén, előre meghatározott időre módosulnak a Network Security Group házirendjei. Ez ugyan a felhős környezet adminisztrátorai számára többlet feladatot jelent (hiszen az Azure-előfizetésben meg kell igényelni a hozzáférést a VM-hez), ugyanakkor csökkenti annak a kockázatát, hogy az RDP vagy SSH által használt portokon keresztül a VM valamilyen támadás áldozata legyen.

Ha valaki szeretne hozzáférni egy Just in time hozzáféréssel konfigurált géphez, meg kell adnia, hogy mely portokat szeretné elérni, milyen protokollon, melyik IP-címről és milyen időszakban. A VM-hez tartozó Network Security Groupban automatikusan megtörténnek a szükséges módosítások, majd a hozzáféréshez igényelt időszak leteltével ismét tilva lesz a forgalom a szóban forgó portokon. A módosítási igények természetesen naplózottak, így minden változtatásnak nyoma lesz. A konfiguráció történhet az Azure felügyeleti portálon, illetve PowerShellen keresztül is.

A Just in time hozzáférés az Azure Security Center egy új képessége, amely egyelőre előzetes szolgáltatásként érhető el. A JIT életbe léptethető meglevő VM-ekre is, illetve alapesetként konfigurálható az újonnan létrehozott virtuális gépekhez. A szolgáltatásról bővebb információ az online dokumentációban van.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.