Protección de los puertos de administración con acceso Just-in-Time

Habilitación de JIT en las máquinas virtuales desde Microsoft Defender for Cloud

Desde Defender for Cloud, puede habilitar y configurar el acceso a la máquina virtual JIT.

1. Abra el panel Protección de cargas de trabajo y, en el área de protección avanzada, seleccione Acceso a máquina virtual Just-In-Time.

   Se abrirá la página Acceso de máquina virtual Just-In-Time con las máquinas virtuales agrupadas en las siguientes pestañas:

   • Configurado: máquinas virtuales que ya se han configurado para admitir el acceso a máquinas virtuales Just-In-Time. Para cada máquina virtual, la pestaña Configurado muestra:
     • el número de solicitudes JIT aprobadas en los últimos siete días
     • la fecha y hora del último acceso
     • los detalles de la conexión configurados
     • el último usuario
   • No configurado: máquinas virtuales sin JIT habilitado, pero que pueden admitir JIT. Se recomienda habilitar JIT para estas máquinas virtuales.
   • No admitido: máquinas virtuales sin JIT habilitado y que no admiten la característica. Es posible que su máquina virtual esté en esta pestaña por las siguientes razones:
     • Falta un grupo de seguridad de red (NSG) o Azure Firewall: JIT requiere que se configure un grupo de seguridad de red o una configuración de firewall (o ambos)
     • Máquina virtual clásica: JIT es compatible con las máquinas virtuales que se implementan a través de Azure Resource Manager, no con la "implementación clásica". Obtenga más información sobre los modelos de implementación clásica y de Resource Manager.
     • Otro: la máquina virtual puede estar en esta pestaña si la solución JIT está deshabilitada en la directiva de seguridad de la suscripción o el grupo de recursos.

2. En la pestaña No configurado, marque las máquinas virtuales que desea proteger con JIT y seleccione Habilitar JIT en VM.

   Se abre la página de acceso a la máquina virtual JIT con los puertos que Defender for Cloud recomienda proteger:

   • 22 - SSH
   • 3389 - RDP
   • 5985 - WinRM
   • 5986 - WinRM

   Para aceptar la configuración predeterminada, seleccione Guardar.

3. Para personalizar las opciones de JIT:

   • Agregue puertos personalizados con el botón Agregar.
   • Modifique uno de los puertos predeterminados seleccionándolo en la lista.

   Para cada puerto (personalizado y predeterminado), el panel Agregar configuración de puerto ofrece las siguientes opciones:

   • Protocolo: el protocolo que se permite en este puerto cuando se aprueba una solicitud.
   • Direcciones IP de origen permitidas: los intervalos de direcciones IP que se permiten en este puerto cuando se aprueba una solicitud.
   • Tiempo de solicitud máximo: el período de tiempo máximo durante el que puede estar abierto un puerto específico.

   1. Establezca la seguridad del puerto según sus necesidades.

   2. Seleccione Aceptar.

4. Seleccione Guardar.

Edición de la configuración JIT en una máquina virtual habilitada para JIT mediante Defender for Cloud

Puede modificar la configuración Just-In-Time de una máquina virtual agregando y configurando un puerto nuevo que proteja dicha máquina virtual, o bien cambiando otro valor relacionado con un puerto ya protegido.

Para editar las reglas JIT existentes para una máquina virtual:

1. Abra el panel Protección de cargas de trabajo y, en el área de protección avanzada, seleccione Acceso a máquina virtual Just-In-Time.

2. En la pestaña Configurado, haga clic con el botón derecho en la máquina virtual a la que desea agregar un puerto y seleccione Editar.

   

3. En Configuración de acceso a máquina virtual del tipo JIT , puede modificar la configuración existente de un puerto protegido, o bien agregar un puerto personalizado.

4. Cuando haya terminado de editar los puertos, seleccione Guardar.

Habilitación de JIT en las máquinas virtuales desde máquinas virtuales de Azure

Puede habilitar JIT en una máquina virtual desde las páginas de máquinas virtuales de Azure Portal.

1. En Azure Portal, busque y seleccione Máquinas virtuales.

2. Seleccione la máquina virtual que desee proteger con JIT.

3. En el menú, seleccione Configuración.

4. En Acceso Just-In-Time, seleccione Habilitar Just-In-Time.

   Esto habilita el acceso Just-In-Time para la máquina virtual con las siguientes configuraciones predeterminadas:

   • Máquinas Windows:
     • Puerto RDP 3389
     • Se permite un tiempo de acceso máximo de tres horas
     • Las direcciones IP de origen permitidas se establecen en Cualquiera
   • Máquinas Linux:
     • Puerto SSH 22
     • Se permite un tiempo de acceso máximo de tres horas
     • Las direcciones IP de origen permitidas se establecen en Cualquiera

5. Para editar cualquiera de estos valores o agregar más puertos a la configuración JIT, use la página Just-In-Time de Microsoft Defender for Cloud:

   1. En el menú de Defender for Cloud, seleccione Acceso a máquina virtual Just-In-Time.

   2. En la pestaña Configurado, haga clic con el botón derecho en la máquina virtual a la que desea agregar un puerto y seleccione Editar.

      

   3. En Configuración de acceso a máquina virtual del tipo JIT , puede modificar la configuración existente de un puerto protegido, o bien agregar un puerto personalizado.

   4. Cuando haya terminado de editar los puertos, seleccione Guardar.

Habilitación de JIT en las máquinas virtuales mediante PowerShell

Para habilitar el acceso a máquinas virtuales Just-In-Time desde PowerShell, use el cmdlet oficial deMicrosoft Defender for Cloud PowerShell Set-AzJitNetworkAccessPolicy.

Ejemplo: habilite el acceso a máquinas virtuales Just-in-Time en una máquina virtual específica con las siguientes reglas:

• Cierre los puertos 22 y 3389.
• Establezca una ventana de tiempo máximo de 3 horas para cada uno, para que así puedan abrirse según la solicitud aprobada.
• Deje que el usuario que solicita el acceso controle las direcciones IP de origen.
• Deje que el usuario que solicita el acceso establezca una sesión correcta tras una solicitud de acceso del tipo Just-In-Time aprobada.

Los siguientes comandos de PowerShell crean esta configuración JIT:

1. Asigne una variable que contenga las reglas de acceso a máquinas virtuales Just-in-Time para una máquina virtual:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
   

2. Inserte las reglas de acceso a máquinas virtuales Just-in-Time de la máquina virtual en una matriz:

   $JitPolicyArr=@($JitPolicy)
   

3. Configure las reglas de acceso a máquinas virtuales Just-in-Time en la máquina virtual seleccionada:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   Use el parámetro -Name para especificar una máquina virtual. Por ejemplo, para establecer la configuración JIT para dos máquinas virtuales diferentes, VM1 y VM2, use Set-AzJitNetworkAccessPolicy -Name VM1 y Set-AzJitNetworkAccessPolicy -Name VM2.

Habilitación de JIT en las máquinas virtuales mediante API REST

La característica de acceso a máquinas virtuales Just-In-Time se puede usar a través de la API de Microsoft Defender for Cloud. Use esta API para obtener más información acerca de las máquinas virtuales configuradas, cómo agregar otras nuevas o solicitar acceso a una máquina virtual, entre otras cosas.

Obtenga más información en Directivas de acceso a redes JIT.

Solicitud de acceso a una máquina virtual habilitada para JIT desde Microsoft Defender for Cloud

Cuando una máquina virtual tiene JIT habilitado, tiene que solicitar acceso para conectarse a ella. Puede solicitar acceso de cualquiera de las maneras admitidas, independientemente de cómo haya habilitado JIT.

1. En la página Acceso de máquina virtual Just-In-Time, seleccione la pestaña Configurado.

2. Marque las máquinas virtuales a las que desea acceder.

   • El icono de la columna Detalles de la conexión indica si JIT está habilitado en el grupo de seguridad de red o el firewall. Si está habilitado en ambos, solo aparece el icono de firewall.

   • En la columna Detalles de la conexión se proporciona la información necesaria para conectarse a la máquina virtual y sus puertos abiertos.

3. Seleccione Solicitar acceso. Se abre la ventana Solicitar acceso.

4. En Solicitar acceso, configure para cada máquina virtual los puertos que desee que se abran y las direcciones IP de origen en que se abre el puerto y el tiempo durante el que permanecerá abierto. Solo será posible solicitar acceso a los puertos configurados. Cada puerto tiene un tiempo máximo permitido que se basa en la configuración JIT que ha creado.

5. Seleccione Open ports (Abrir puertos).

Solicitud de acceso a una máquina virtual habilitada para JIT desde la página de conexión de la máquina virtual de Azure

Cuando una máquina virtual tiene JIT habilitado, tiene que solicitar acceso para conectarse a ella. Puede solicitar acceso de cualquiera de las maneras admitidas, independientemente de cómo haya habilitado JIT.

Para solicitar acceso desde máquinas virtuales de Azure:

1. En Azure Portal, abra las páginas de máquinas virtuales.

2. Seleccione la máquina virtual a la que desea conectarse y abra la página Conectar.

   Azure comprueba si JIT está habilitado en esa máquina virtual.

   • Si JIT no está habilitado para la máquina virtual, se le pedirá que lo habilite.

   • Si está JIT está habilitado, seleccione Solicitar acceso para pasar una solicitud de acceso con la dirección IP de solicitud, el intervalo de tiempo y los puertos que se configuraron para esa máquina virtual.

Solicitud de acceso a una máquina virtual habilitada para JIT mediante PowerShell

En el siguiente ejemplo, puede ver una solicitud de acceso a máquina virtual del tipo Just-In-Time para una máquina virtual específica, en la que se solicita que se abra el puerto 22 para una dirección IP específica y durante un período concreto:

Ejecute lo siguiente en PowerShell:

1. Configure las propiedades de acceso de solicitud de la máquina virtual:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. Inserte los parámetros de solicitud de acceso a la máquina virtual en una matriz:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. Envíe el acceso de solicitud (use el id. de recurso del paso 1).

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

Para más información, consulte la documentación del cmdlet de PowerShell.

Solicitud de acceso a una máquina virtual habilitada para JIT mediante API REST

La característica de acceso a máquinas virtuales Just-In-Time se puede usar a través de la API de Microsoft Defender for Cloud. Use esta API para obtener más información acerca de las máquinas virtuales configuradas, cómo agregar otras nuevas o solicitar acceso a una máquina virtual, entre otras cosas.

Obtenga más información en Directivas de acceso a redes JIT.