JIT で Azure VM を保護する

Azure VM を作った際に、ssh(TCP/22)、RDP(TCP/3389)、WinRM(TCP/5985、TCP/5986)の管理ポートどうしていますか?

これらのポートを無条件にインターネットにさらしていると、しょっちゅうアタックを食らうので、突破されるリスクが常に伴います。

対策として、接続元 IP アドレスを絞るとか、必要な時にだけ Port open するとか、踏み台を作るとかの対策を取っていると思いますが、運用が面倒とか、ヒューマンエラーの事故とか気になりませんか?

そんな時は、JIT(Just-In-Time)を使うと楽に安全に運用が出来ます。

JIT って何?

JIT は、ネットワークセキュリティグループ(NSG)に対し、管理ポートに対する接続拒否フィルタを構成し、必要時にだけ管理ポートに時限式の接続許可フィルタを作成する Azure Security Center の機能です。

Default 状態は、管理ポートに対して Any で接続許可になっている(危険)

VM に対し JIT を有効にすると、管理ポートの拒否フィルタが作成される

Security Center でアクセス許可設定をすると、時限式(所定時間が経過すると消える)の管理ポート接続許可フィルターが作成される

JIT は Azure Security Center の機能ですが、「STANDARD レベル」のサービスなので、無償の「FREE レベル」では使用することが出来ません。

Azure Security Center が FREE レベルの場合は、STANDARD レベルへアップグレードします。

JIT だけが目的であれば、エージェントのインストールは不要ですが、せっかく STANDARD レベルにするので、エージェントもインストールしておきます。

Azure Security Center を「STANDARD レベル」にアップグレードすると、JIT の「構成されていません」に JIT が構成されていない VM が一覧表示されるので、JIT を有効にする VM をチェックして、JIT を有効にします。

必要に応じて、ポート追加する等の調整が出来ます

STANDARD レベルへアップグレードした直後だと、「構成されていません」に VM が表示されず、「サポートなし」に VM が表示されることがありますが、これは時間が解決するので、しばらく待ってから JIT に再アクセスしてください。

Azure VM に管理ポートアクセスするには、JIT で対象の VM を選択し、「アクセス権の要求」をします。

開放が必要なポートをオンにして、送信元 IP アドレスを指定します。「自分のIP」を選択すると、Azure Security Cente に接続している IP アドレスに接続許可が与えられます。

開放時間は、3h が default ですが、スライダーで調整すると開放時間を調整することが出来ます。

管理ポートアクセスが終了しても、特に何かする必要はなく、開放時間が経過すると自動的にポートが閉じられるので、ヒューマンエラーでうっかりポート開けっ放しといった事故も起きる心配はありません。