CentOS Microsoft Azure

【Azure VM+CentOS】Just-In-Time(JIT)VMアクセスを使ってセキュリティを強化する

クラウドを利用するときの懸念点としてセキュリティ面を指摘されることがあると思います。SSH接続するために22番ポートを常に開放しておくとそこが悪意のある攻撃者によって狙われる危険があるわけです。そこで有効なのが、Just-In-Time(JIT)VMアクセスです。設定する機会がありましたので、JITでSSH接続の設定をする手順を備忘録として残しておきます。

 

 

Just-In-Time(JIT)VMとは

Microsoft公式サイトでは、以下のように解説されています。

Just-In-Time(JIT)VMアクセスについて

 

ユーザーが VM へのアクセス権を要求すると、Security Center によってそのユーザーが VM に対する Azure ロール ベースのアクセス制御 (Azure RBAC) アクセス許可を持っているかどうかがチェックされます。 要求が承認されると、Security Center では、関連する IP アドレス (または範囲) から選択したポートへの受信トラフィックを指定された時間だけ許可するように、NSG および Azure Firewall が構成されます。 指定された時間が経過すると、Security Center により NSG が以前の状態に復元されます。 既に確立されている接続は中断されません。

 

ざっくり言うと以下のような感じになります。

  1. ユーザーが、仮想マシンへのアクセス権を要求する。
  2. 承認されると、特定のIPアドレスからのアクセスが指定された時間だけ許可される。

 

 

仮想マシンの設定方法

まずAzureポータルにログインします。

Azureポータル

 

通常、仮想マシン(CentOS)にSSH接続する場合、仮想マシンのネットワーク設定で受信ポートの規則を作成する必要があります。しかし、Just-In-Timeアクセスを利用する場合は、ポート番号22の規則を手動で作成しなくても大丈夫です。では、Just-In-Timeアクセスの設定をしてみます。

 

「Virtual Machines」-「構成」から「Just-In-Timeを有効にする」ボタンをクリックします。

 

 

次に、「Virtual Machines」-「接続」から「アクセス権の要求」ボタンをクリックします。しばらくして(10秒程度はかかりました)承認されたらSSH接続ができるようになりました。

 

 

「アクセス権の要求」ボタンが表示されていない場合は、「Azure Defender」がFreeプランになっている可能性があります。その場合は、「Azure  Defender」の設定を変更します。

 

 

セキュリティセンターの設定方法

「セキュリティセンター」-「Azure Defender」から「Just-In-Timeアクセス」を選択します。

 

 

Azure Defenderには、FreeプランとStandardプランとがあるようですが、Just-In-Timeアクセスを利用するには、Standardプランにアップグレードする必要があります。30日間は無料試用できるようです。下図の赤で囲った箇所をクリックして設定します。

 

 

Azure Defenderを有効にしたいサブスクリプションにチェックをつけて、「アップグレード」ボタンをクリックします。

 

 

今回は、ここまでです。

  • この記事を書いた人
  • 最新記事

社長

8年間の客先常駐を経験後、いったんソフトウェア業界を離れ、事業承継のために再びこの業界に戻ってきた異色のエンジニア。ただ今、SEOやWebマーケティングに注力中。

-CentOS, Microsoft Azure

Copyright© コアースのブログ , 2022 All Rights Reserved.