La fonctionnalité de Just-In-Time dans Azure est étroitement associée à Azure Security Center. Il s’agit d’un portail qui vous permet d’avoir une vue synthétique sur la sécurité de votre souscription dans Azure. Vous pourrez ainsi y trouver des informations ou recommandations comme par exemple :
En termes de sécurité, Microsoft publie régulièrement de nombreuses recommandations. Deux principes que l’on retrouve régulièrement et pour lesquels l’éditeur propose certaines solutions sont détaillés ci-dessous :
Just-In-Time VM Access est une fonctionnalité (oui c’est son nom complet) qui vous permet de résoudre un problème majeur dans la gestion de votre infrastructure puisqu’elle vous permet de limiter l’accès à une VM lorsqu’aucune action d’administration n’est nécessaire sur cette dernière.
L’utilisation de Just-In-Time VM Access permet à Azure d’ouvrir votre « endpoint« pour vous connecter en RDP (3389/TCP) ou bien en SSH (22/TCP) vers votre serveur Windows ou Linux. L’intérêt étant que cet accès n’est pas ouvert de manière permanent et sera donc limité dans le temps.
Par défaut, lorsque vous accédez à Azure Security Center, vous verrez des recommandations pour les VM sur lesquelles cette option n’est pas activée (comme nous pouvons le voir dans la capture d’écran ci-dessus).
Vous pourrez alors activer cette fonctionnalité sur les différentes VM lorsque c’est nécessaire. Veillez bien à choisir le port 22 ou 3389 selon si votre VM est un serveur Linux ou Windows. Nous ne voulons pas ouvrir de ports plus que nécessaires ! 😉
Une fois cette option activée pour vos VM, vous pourrez alors voir quels ont été les derniers accès ou s’il y a des demandes actuellement en cours.
Lorsque vous effectuez une demande, Azure ouvrira automatiquement le port nécessaire pour vous connecter à cette machine virtuelle.
Il est alors possible d’autoriser l’accès soit pour une adresse IP / plage d’adresse particulière et également de limiter la durée pendant laquelle cet accès sera autorisé. Par défaut, le maximum est 3 heures mais la demande peut bien entendu être prolongée.
Pour faire une demande d’accès, tout se passe alors depuis le portail Azure sur votre objet VM. Vous verrez toujours les différents onglets RDP, SSH, Bastion mais vous aurez des options additionnelles permettant de demander l’accès en cliquant sur le bouton « Request Access« .
De plus, pour améliorer encore la sécurité, par défaut, l’outil va détecter votre adresse IP et procéder à l’ouverture de flux uniquement pour votre adresse IP ! Mais si vous êtes dans un cas particulier de VPN ou d’IP partagée vous pouvez toujours choisir les autres options.
Il ne vous reste alors plus qu’à télécharger le fichier RDP ou vous connecter comme vous avez l’habitude à votre VM via l’adresse IP publique choisie.
L’intérêt de ce type de fonctionnalité est de limiter au maximum les ouvertures de ports ou les possibilités d’accès en direct via Internet à un serveur lorsque vous n’avez aucun besoin de réaliser des tâches d’administration. 🙂
N’hésitez pas à consulter la page sur le site de Microsoft qui aborde la méthodologie du « Just in time VM access » en visitant le lien suivant.
Proton Mail, le service de messagerie électronique chiffrée, a récemment annoncé le lancement d'une nouvelle…
25 avril 2024 - La communauté Ubuntu a récemment annoncé la sortie officielle d'Ubuntu 24.04…
Un rachat stratégique pour le géant américain Le 24 avril 2024, IBM a officialisé le…
A partir de 2025, Microsoft va limiter l'envoi d'e-mails en masse sur Exchange Online Lutte…
Bloquer un site Internet pour vous empêcher de le visiter Il y a quelques temps…
Face à l'essor fulgurant de l'intelligence artificielle et à l'arrivée de nouveaux acteurs puissants sur…