Just-In-Time VM Access のパブリック プレビューを発表

執筆者: Ben Kliger (Senior Product Manager)

このポストは、8 月 16 日に投稿された Announcing the Just-In-Time VM Access public preview の翻訳です。

 

一般的に、クラウド環境をターゲットにする攻撃には、ブルート フォース攻撃やポート スキャン攻撃が使用されます。特に狙われやすいのが、管理者がアクセスできるように開放されたままになっている RDP や SSH などの管理ポートです。このたび、Azure Security Center では、これらの攻撃を検出して警告するだけでなく、新たに Just-In-Time (JIT) VM Access というメカニズムを使用できるようになりました。現在パブリック プレビューとして提供されている JIT VM Access を使用すると、永続的なアクセスを拒否し、必要に応じて制御や監査の下で VM へのアクセスを許可できるため、前記のような攻撃を受けるリスクが大幅に減少します。

お客様が設定したセキュリティ ポリシーに応じて、Azure Security Center には既存の VM や新規作成した VM に対して JIT VM Access を有効化することを推奨するメッセージが表示されます。JIT VM Access を有効化すると、Azure Security Center によってネットワーク セキュリティ グループ ルールが作成され、定義されたポートへの受信トラフィックがロックダウンされます。VM へのアクセスは、必要に応じて要求できます。適切なアクセス許可を持つユーザーが要求した場合に限り、必要なポートが承認された時間だけ開放され、承認された IP アドレスからのアクセスが許可されます。各要求は Azure のアクティビティ ログに記録されるため、アクセスの監視や監査を容易に実施できます。JIT VM Access の有効化、ポリシーの構成、アクセスの要求は PowerShell コマンドレットから行うこともできます。

JIT VM Access の有効化とポリシーの適用

[Just in time VM access] ブレードでは、管理者が全部または一部の VM に対して JIT VM Access を簡単に有効化できるほか、ポリシーを構成することで、保護するポート、許可するプロトコル、ポートへのアクセスを許可する IP アドレス、ポートを開放する制限時間を定義できます。このポリシーに従って、ユーザーがアクセスを要求した場合に提示されるオプションが決定されます。

just-in-time-vm-access

VM に対する JIT VM Access の要求

VM へのアクセスは、適切なアクセス許可 (Azure RBAC に基づく) を持つすべてのユーザーが要求できます。JIT VM Access のポリシーに従って、ユーザーはアクセスする必要があるポート、アクセス元の IP アドレス、制限時間を選択できます。アクセスは自動的に許可されます。

just-in-time-vm-access-2

この新機能は Azure Security Center の Standard 料金レベルで提供されます。使用開始から 60 日間は無料でお試しいただけます。

JIT VM Access の詳細については、こちらの動画 (英語)ドキュメントを参照してください。