Just in Time VM Access – Virtual maşınlara yalnız ehtiyac olduqda qoşulmanı təmin etmək məqsədilə, Azure VM-lərə daxili olan trafiki bloklamaq üçün istifadə olunur. JIT Access – VM təhlükəsizliyinin əsas müdafiə mexanizmləri sırasına daxildir. Xüsusilə də, RDP və SSH vasitəsilə hücumlara qarşı, müvafiq portların yalnız, lazım olan vaxt açıq olmaları vacib şərtdir. Çünki bu portların hər zaman açıq qalması ən azından Brute-force hücumlara şərait yarada bilər.

Proses, istifadəçinin virtual maşına qoşulma istəyi barəsində sorğusu əsasında başlayır. Bu zaman, Azure Secure Center RBAC (Role-based Access Control) imtiyazlarına əsasən, istifadəçiyə icazə verilib-verilməyəcəyi qərarı alınır. İcazə təsdiqləndiyi təqdirdə Security Center avtomatik olaraq NSG (Network Security Group) konfiqurasiya edərək, müəyyən portlara inbound trafik icazəsi verir. Bu portlar yalnız, əvvəlcədən təyin olunmuş zaman aralığında açıq olur. Sonra isə yenidən əvvəlki vəziyyətinə qayıdır. Əgər, müraciət olunan virtual maşınlar Azure Firewall-un arxasında yerləşirsə bu zaman, Security Center icazə dəyişikliklərin həm NSG həm də Azure Firewall-da həyata keçirir. İcazə müddəti bitdikdən sonra isə eynilə NSG və Firewall-dan icazələr ləğv edilərək əvvəlki vəziyyətinə gətirilir.

Azure Security Center-də Just-in-time Access konfiqurasiyası

1. Azure Portala daxil olaraq Security Center panelin açın
2. Sol tərəfdə “Advanced Cloud Defense” bölməsindən “Just in time VM access” düyməsini sıxın.
3. Bu səhifədə Virtual maşınların cari vəziyyəti barədə məlumatlar əks olunub və bu məlumatlar 3 hissəyə bölünür:
   1. Configured – JİT konfiqurasiya olunmuş virtual maşınların siyahısı, son həftə ərzində hər bir VM üzrə təsdiqlənmiş qoşulma sorğuları, daxilolma tarixi və daxil olan istifadəçi adı əks olunur.
   2. Recommended – JİT konfiqurasiya edilə bilən, lakin edilməyən Virtual Maşın siyahısı.
   3. No recommendation – JİT aktivləşdirilməsi məsləhət edilməyən Virtual maşınlar siyahısı. Bu siyahı bir neçə səbəbə görə müəyyən edilir (Aktiv olmayan NSG, Classic VM, policy qadağası və s.
4. “Recommended” panelinə keçin.
5. Burada qeyd olunan virtual maşınlardan hər hansı birini seçin
6. Sağ tərəfdə yerləşən “Enable JIT on VM” düyməsini sıxın.

Buradakı sazlamalarda siz müvəqqəti icazə üçün nəzərdə tutulan portları, mənbə İP ünvanları və icazə periodunu qeyd edə bilərsiniz. Sazlamaları bitirib “save” düyməsini sıxdıqda, JİT aktiv edilmiş VM, “Recommended” bölməsindən ”Configured” bölməsinə keçəcəkdir.

Azure Security Center-dən əlavə, Just-in-Time Access-ləri, həmçinin Azure VM panelindən aktivləşdirmək mümkündür. Bunun üçün

1. Azure portala daxil olub, VM panelinə keçin.
2. Just-in-time Access aktivləşdirmək istədyiniz virtual maşını seçin.
3. Sol tərəfdəki menyudan “Configuration” bölməsinə daxil olun.
4. Burada “Enable just in time” düyməsini sıxın.

Bu formada JIT-i aktivləşdirdiyimiz zaman, avtomatik olaraq bəzi qaydalar tətbiq olunur:

• Windows VM lər üçün
  • RDP port 3389 üçün qoşulma icazəsi
  • 3 saat maximum qoşulma müddəti
  • İcazə verilən İp ünvan mənbəyi – “Any”
• Linux VM lər üçün
  • SSH port 22 üçün qoşulma icazəsi
  • 3 saat maximum qoşulma müddəti
  • İcazə verilən İP ünvan mənbəyi – “Any”

Azure Security Center vasitəsilə JİT müraciətlər:

1. Just-in-time funksiyası aktiv edilmiş Virtual maşına qoşulmaq üçün, müvafiq səhifədə “Configured” panelinə keçin
2. Qoşulmaq istədiyiniz virtual maşını qeyd edin
3. Sağ tərəfdə yerləşən “request access” düyməsini sıxın.
4. Açılmış pəncərədə siz qoşulmaq üçün müraciət etdiyiniz port, İp ünvan (aralığı) və qoşulma müddətin aktiv edə bilərsiniz.

“Open ports” düyməsi vasitəsilə icazəni əldə edirsiniz. Nəzərə alın ki, burada icazə üçün maksimal vaxt, port və sairə konfiqurasiya limitləri JİT Access Policy vasitəsilə dəyişdirilə bilər.

JİT Access siyasətlərini (Policy) konfiqurasiya etmək üçün:

1. Configured panelində virtual maşını seçərkən, qarşısında yaranan işarə vasitəsilə siz müəyyən konfiqurasiyalar həyata keçirdə bilərsiniz.

1. Burada “Edit” düyməsini sıxın.
2. Açılan pəncərədə JİT müraciətləri üçün istədiyiniz parametrlə daxil edə bilərsiniz. Buraya port, protokol tipi, İP ünvan və icazə müddəti daxildir.