Azure Security Center でリモートデスクトップ接続を一時的に許可する

Azure

こんにちは。

今回は、Azure Security Center でリモートデスクトップ接続を一時的に許可する方法についてです。

 

ちなみに Azure Security Center の概要は、今年の初めに書いたのですがもうだいぶ古くなってますね。。。

Azure Security Center について勉強してみた
今回は、Azure Security Center の超概要的な話です。。 Azure Security Center とは、 めちゃざっくりとした説明としては、Azure Security Center は、 Azure 上の各種サービス

 

やり方

Azure Security Center の Just in time VM access を利用します。

この機能を使うと、リモートデスクトップや SSH など外部からの接続を指定した時間の間だけ許可することができます。

また、接続元の IP アドレスも指定できますので、接続を許可した人だけがつなげることができるってわけです。

 

Azure の VM でパブリック IP で、リモートデスクトップの接続をずっと許容していると、

それ自体がセキュリティリスクになるわけですから、

そこを改善することができるって感じです。

 

Just in time VM Access の設定方法

まずは、Just in time VM Access の対象として、VM を設定します。

設定方法はとても簡単です。

 

まずは、Azure Security Center のメニューより、「Just in time VM access」を選び、Recommended を開きます。

これで、Just in time VM access に設定されていない VM が表示されますので、対象の VM を選び「Enable JIT on 1 VMs」をクリックします。

もし、選びたい VM が出てこない場合は、選択されているのサブスクリプションが別物になってるかも。

ちなみに、サブスクリプションの選択は、Overview のところでできます。

 

 

一時許可を行うときに選択するポートを決めて、「Save」します。

初期表示だと、22,3389,5585,5586 ポートが設定されていますが、下の図では3389 だけに絞った感じです。

実際に許可するときに、どのポートを許可するか選ぶことができるので、許可する可能性があるポートを設定しておくって感じになります。

 

設定は、こんだけです。

 

一時許可する方法

つづいて、運用時に一時的に接続許可を行う方法です。

 

「Configured」のところから対象の VM を選んで、「Request access」をクリックします。

 

 

接続許可を行う、ポートの TOGGLE を On にして、ALLOWED SOURCE IP を指定し、TIME RANEGE を設定します。

接続元 IP は、ポータルを開いている PC でしたら、「My IP」 を選べばいいですし、そうではない場合は、IP Range で指定します。

ちなみに、同じ VNET にある別の VM から、この Request access でのソースに指定していない状態で、RD しようとしたところはじかれて、ソース IP に追加したら接続できました。

 

あと、 Time Range は、1時間単位なのでご注意を

 

まとめ

リモートデスクトップなどの外部接続のポートをずっと開けておかなくていいのは、セキュリティ上とてもいいことだと思います。

あとは、これで接続許可をしたら、オーディットを取りたいですよね~。

 

その辺が簡単に見れるようになるととてもいいんですけどね。。。。

コメント

タイトルとURLをコピーしました