Qu'est-ce que JIT et pourquoi est-ce essentiel ?Just-In-Time (JIT) est une fonctionnalité du Centre de sécurité Azure conçue pour contrôler l'accès aux machines virtuelles en autorisant l'ouverture des ports pendant une période limitée et uniquement à la demande. L'objectif principal du JIT est de minimiser la surface d'attaque en fermant tous les ports qui ne sont pas normalement utilisés en permanence, tels que RDP (3389) et SSH (22). Lorsque l'accès JIT est activé, les ports ne sont ouverts qu'après approbation explicite de la demande et sont automatiquement fermés après un délai déterminé.
Contrairement à l'ouverture permanente des ports (l'approche standard), l'accès JIT réduit considérablement le risque d'attaques par force brute ou de vulnérabilités de type « zero-day ». Au lieu d'un accès ouvert en permanence, vous obtenez un système qui ne fournit un accès que lorsqu'il est réellement nécessaire, ce qui minimise les risques.
Configuration JIT via le Portail Azure et PowerShellPré-requis:Vous devez disposer d'un abonnement Microsoft Defender for Cloud level
Defender for Servers Plan 2 pour utiliser JIT. Vous pouvez en savoir plus
ici.
Création d'une politique de JITPortail Azure- Dans le portail Azure, accédez à « Microsoft Defender for Cloud ».
- Dans le menu latéral, sélectionnez « Workload protections » → « Just-in-time VM access ».
- Sélectionnez l'onglet « Configuré » ou « Non configuré » pour afficher les machines virtuelles disponibles.
- Sélectionnez une machine virtuelle et cliquez sur « Enable JIT ».
- Spécifiez les ports à ouvrir sur demande et la durée maximale de validité de l'autorisation.
- Cliquez sur « Enregistrer » pour appliquer la politique.
Azure PowerShell:Pour automatiser cette opération, vous pouvez utiliser la cmdlet
Set-AzJitNetworkAccessPolicy Azure PowerShell. Par exemple: