Was ist Azure - Just in Time Access (JIT)?

Azure Just in Time Access (JIT) ist eine Sicherheitsfunktion innerhalb von Microsoft Defender for Cloud, die den Netzwerkzugriff auf virtuelle Maschinen (VMs) in Azure nur bei Bedarf und für einen begrenzten Zeitraum erlaubt. Ziel ist es, die Angriffsfläche zu minimieren, indem dauerhaft offene Ports wie etwa für RDP oder SSH vermieden werden.

In der Praxis sieht das oft differenzierter aus. Zwar sind viele virtuelle Maschinen nicht direkt aus dem Internet erreichbar, sondern über interne Netzwerke oder über VPNs abgesichert, dennoch bleiben häufig administrative Ports wie RDP oder SSH dauerhaft geöffnet. Das geschieht oft, um Administratoren oder externen Dienstleistern einen schnellen Zugriff zu ermöglichen. Auch innerhalb eines privaten Netzwerks kann dies ein Sicherheitsrisiko darstellen, insbesondere wenn keine zusätzlichen Schutzmechanismen wie Netzwerksegmentierung, rollenbasierte Zugriffskontrolle oder Multi-Faktor-Authentifizierung implementiert sind.

Ein typisches Beispiel: Ein mittelständisches Unternehmen betreibt mehrere Windows-Server in Azure, die über ein Site-to-Site-VPN mit dem Unternehmensnetzwerk verbunden sind. Die Administratoren greifen regelmäßig per RDP auf diese Server zu, wobei Port 3389 dauerhaft offen bleibt, allerdings nur für interne IP-Adressen. Eines Tages wird ein verdächtiger Zugriff aus einem anderen Subnetz festgestellt. Die Analyse ergibt, dass ein kompromittiertes Gerät im internen Netzwerk den Zugriff ausgelöst hat. Der Vorfall zeigt, dass auch interne Angriffsvektoren nicht unterschätzt werden dürfen.

Mit Azure Just in Time Access wäre der Zugriff auf die Server nur bei Bedarf und für eine begrenzte Zeit möglich gewesen. Selbst innerhalb des internen Netzwerks wäre der Port standardmäßig geschlossen und nur gezielt geöffnet worden, beispielsweise für eine bestimmte IP-Adresse und einen definierten Zeitraum. Der Zugriff wäre kontrolliert, protokolliert und automatisch wieder beendet worden. So lassen sich auch interne Risiken deutlich reduzieren und administrative Zugriffe besser absichern.

Welche Voraussetzungen und Kosten habe ich?

Voraussetzungen

  • Microsoft Defender for Servers Plan 2 muss für das jeweilige Azure-Abonnement aktiviert sein
  • Unterstützt werden:
    • Azure-VMs, die über den Azure Resource Manager bereitgestellt wurden
    • VMs, die durch Azure Firewall oder NSG geschützt sind
  • Nicht unterstützt:
    • Klassisch bereitgestellte VMs
    • VMs, die durch Azure Firewall Manager gesteuert werden

Kosten:

Die Nutzung von JIT ist in Microsoft Defender for Servers Plan 2 enthalten, der wiederum kostenpflichtig ist. Die Preise für die Lizenz liegen zum Datum dieser Veröffentlichung bei 12,91 € pro Server.

Wie konfiguriere ich JIT?

Die Konfiguration von Azure Just in Time Access erfolgt über das Azure-Portal. Für Unternehmen, die Microsoft Defender for Servers Plan 2 noch nicht nutzen, besteht die Möglichkeit, einen 30-tägigen kostenlosen Testzeitraum zu aktivieren. Der Plan muss auf der Subscription aktiviert werden und wird auch über diese abgerechnet.

Die Einrichtung im Azure-Portal erfolgt in mehreren Schritten:

  1. Zunächst wird Microsoft Defender for Cloud geöffnet. Unter dem Menüpunkt Workload Protections findet sich die Kategorie „Just-in-Time VM-Zugriff“.

     

  2. Dort werden alle VMs aufgelistet. Ebenfalls kann hier die virtuelle Maschine ausgewählt werden, für die JIT aktiviert werden soll.

     

  3. Anschließend werden die zu schützenden Ports definiert, zum Beispiel Port 22 für SSH oder Port 3389 für RDP. Zusätzlich wird festgelegt, wie lange der Zugriff maximal gewährt werden darf, etwa eine Stunde, und welche IP-Adressen Zugriff erhalten dürfen.

  4. Danach wird die Richtlinie gespeichert. Damit ist JIT für die ausgewählte VM aktiv.

  5. Der Zugriff kann nun bei Bedarf über das Azure-Portal angefordert werden. Die Anfragen werden protokolliert und nach Ablauf der definierten Zeit automatisch beendet.

Alternativ kann JIT direkt in der VM eingestellt werden:

Persönliche Meinung / Fazit

Azure Just in Time Access ist ein praktisches Sicherheitsfeature, das unnötig offene Ports vermeidet und so die Angriffsfläche reduziert. Gleichzeitig hilft es Unternehmen, Compliance-Anforderungen wie ISO 27001 besser zu erfüllen, da der Zugriff auf Systeme gezielt gesteuert und protokolliert wird. Die Einrichtung ist einfach, die Integration in Defender for Cloud funktioniert gut. Voraussetzung ist allerdings der kostenpflichtige Defender-Plan.

Quellen