Azure VMのJust-In-Timeアクセス有効化と利用方法(Microsoft Defender for Cloud)
仮想マシン(Azure VM)で、Microsoft Defender for CloudのJust-In-Timeを利用するための手順です。
インターネットからSSH(22/tcp)やRDP(3389/tcp)などの管理ポートを公開していると、不正なアクセスが発生する可能性があります。
これらのポートを閉じておき、必要な作業時のみ仮想マシンへのアクセスを許可したい場合があります。
Microsoft Defender for CloudのJust-In-Time仮想マシンアクセス機能を利用すると、指定した時間だけ管理ポートへのアクセスを許可することができます。
今回は、Just-In-Timeの有効化、ポート構成の設定、アクセス要求の送信までの手順を紹介してます。
Network Security Group(NSG)の設定が変更されるところなども確認しています。
※本記事では、Azure Virtual Machines(Azure VM)を仮想マシンとして表記しています。
※本記事では、Network Security Group(ネットワークセキュリティグループ)をNSGとして表記しています。
Microsoft Defender for CloudのJust-In-Timeの設定手順
Just-In-Time (JIT)の概要
Just-In-Time (JIT)は、外部から仮想マシンへのアクセスのセキュリティを高めるための機能です。
必要なときだけ一時的に管理ポートを開放し、不要なときは自動的に閉じることができるため、セキュリティを強化できます。
Microsoft Defender for CloudのDefender for Serversプラン2に含まれています。
Just-In-Time (JIT)を有効化すると、外部からのアクセスを拒否するルールが作成されます。
アクセス要求を行うと、設定した許可時間だけ許可する規則が自動的に作成されます。
アクセス許可は、ポートやIPアドレスを指定することができます。
Just-In-Time (JIT)のアクセス制御は、NSGまたはAzure Firewallのルールを使って実現されます。
また、有効化、構成、アクセスを要求する場合に必要となる権限については、こちらに記載があります。
※今回は、NSGに関連するJust-In-Time (JIT)機能について確認しています。
Just-In-Time (JIT)を有効化する手順
Just-In-Time (JIT)を利用するためには、最初に仮想マシンに対してJITを有効化する必要があります。
仮想マシンのメニューから行う方法と、Microsoft Defender for Cloudのメニューから行う方法があります。
なお、仮想マシンに個別のNSGが設定されていない場合は注意が必要です。
この場合、仮想マシンが接続されているサブネットに適用されているNSGに対して規則が追加されます。
そのため、サブネット内の他の仮想マシンも同じNSGの規則による影響を受ける可能性があります。
※Microsoft Defender for CloudのDefender for Serversプラン2が有効化されている必要があります。
※サブネットと仮想マシンの両方にNSGが設定されている場合は、仮想マシンに設定されているNSGにJust-In-Time (JIT)が適用されます。
| Just-In-Timeの有効化手順 | |
|
仮想マシンの設定にある、構成のメニューを選択します。 ※Defender for Serversプラン2が有効化されていない場合、Just-In-Timeを有効にするのボタンが表示されません。 |
【Defender for Serversプラン2が有効化されている場合】
|
|
【Defender for Serversプラン2が有効化されていない場合】
|
|
| 有効化が完了すると、Microsoft Defender for Cloudを開くというリンクが表示されます。 そのリンクをクリックします。 |
 |
| Just-In-Time VMアクセスの画面が表示されます。 構成済みタブには、有効化した仮想マシンが表示されます。 |
 |
| 仮想マシンのネットワーク設定で、NSGの規則を確認します。 受信ポートの規則に、外部からのアクセスを拒否するルールが作成されていることが確認できます。 |
 |
Microsoft Defender for Cloudのメニューから、Just-In-Timeを有効化する手順です。
| Just-In-Timeの有効化手順 | |
|
Microsoft Defender for Cloudの管理画面を表示します。 |
 |
| 構成されていませんタブを選択します。 有効化対象の仮想マシンを選択し、VMでJITを有効化するボタンを選択します。 |
 |
※Just-In-Time(JIT)有効化時に、確認ダイアログは表示されません。すぐに設定が適用されます。
ポート構成を追加する手順
Just-In-Timeでアクセスを要求する場合は、ポート構成を作成する必要があります。
ポート構成では、一時的にアクセスを許可するための設定内容を定義します。
許可するポート、IPアドレス、最大時間などを指定します。
なお、最大要求時間に設定可能なのは1時間から24時間までです。
-
- ポート構成の要素
- ポート
- プロトコル
- 許可されているソースIPアドレス
- 最大要求時間
- ポート構成の要素
| ポート構成の追加手順 | |
| Just-In-Time VMアクセス画面を表示します。 対象の仮想マシンでEditを選択します。 |
 |
| ポート構成の追加画面が表示されます。 プロトコル、許可されているソースIPアドレス、最大要求時間を設定します。 設定を保存します。
|
 |
 |
|
| 同一ポート番号に対して作成可能なポート構成は1つです。 複数作成しようとすると、エラーになります。 |
 |
※仮想マシンの接続メニューから設定する方法もあります。
※許可されているソースIPで要求ごとを選択すると、アクセスの要求時に任意のIPアドレスを指定可能となります。
アクセスの要求方法
Just-In-Time(JIT)を使って仮想マシンへアクセスを行うためには、アクセスの要求が必要になります。
アクセス権を要求することで、指定した期間およびIPアドレスから仮想マシンへの接続が可能になります。
| アクセス権の要求方法 | |
| Just-In-Time VMアクセスの画面を表示します。 対象の仮想マシンにチェックを入れて、アクセスの要求ボタンを選択します。 |
 |
|
要求するアクセスの設定画面が表示されます。 許可可能なのは、ポート構成で指定した範囲のみです。 |
 |
【エラーの例】 |
|
| 承認済みの項目に要求が表示されます。 |  |
※有効時間が経過すると、承認済みの項目から要求が自動的に削除されます。
NSGに追加された受信のセキュリティ規則を確認
アクセスを要求すると、NSGにアクセス許可のルールが一時的に追加されます。
| NSGの設定を確認 | |
|
アクセス要求後のネットワークセキュリティグループ(NSG)の設定を確認します。 |
 |
仮想マシンのメニューからポート構成の作成とアクセスの要求を行う方法
仮想マシンのメニューからも、Just-In-Time (JIT)のポート構成の作成やアクセスの要求を行うことができます。
| 仮想マシンのメニューからJITの要求とアクセスの確認 | |
| 接続メニューには、JITの要求とアクセスの確認ボタンがあります。 このボタンを選択することで、設定した内容に基づきポートが構成され、同時にアクセス権が要求されます。 設定の編集からアクセス要求内容を変更することもできます。 |
 |
 |
|
アクセスの要求などの操作はアクテビティログに出力される
アクセスの要求などのJust-In-Time (JIT)操作履歴は、アクティビティログで確認することができます。
| アクテビティログを確認 | |
| アクセスの要求の場合は、Initiate JIT Network Access Policyのアクセスログが出力されます。 |  |
—広告—
最後に
今回は、仮想マシンのJust-In-Timeを利用手順を確認しました。
ポートを指定して、一定時間だけ特定のIPアドレスからのアクセスのみを許可するように設定できました。
引き続き、いろいろ試してみたいと思います。