Proteggere le porte di gestione con l'accesso JIT

Bloccare il traffico in ingresso al Macchine virtuali di Azure con la funzionalità di accesso JIT (Just-In-Time) di Microsoft Defender for Cloud. In questo modo si riduce l'esposizione agli attacchi offrendo un accesso semplice quando è necessario connettersi a una macchina virtuale.

Per una spiegazione completa del funzionamento di JIT e della logica sottostante, vedere La spiegazione just-in-time.

Per una spiegazione completa dei requisiti dei privilegi, vedere Quali autorizzazioni sono necessarie per configurare e usare JIT?.

Questa pagina illustra come includere JIT nel programma di sicurezza. Si apprenderà come:

  • Abilitare JIT nelle macchine virtuali : è possibile abilitare JIT con opzioni personalizzate per una o più macchine virtuali usando Defender for Cloud, PowerShell o l'API REST. In alternativa, è possibile abilitare JIT con parametri predefiniti hardcoded da macchine virtuali di Azure. Se abilitata, JIT blocca il traffico in ingresso verso le macchine virtuali di Azure creando una regola nel gruppo di sicurezza di rete.
  • Richiedere l'accesso a una macchina virtuale con JIT abilitato : l'obiettivo di JIT è garantire che, anche se il traffico in ingresso è bloccato, Defender for Cloud offre comunque un accesso facile per connettersi alle macchine virtuali quando necessario. È possibile richiedere l'accesso a una macchina virtuale abilitata per JIT da Defender for Cloud, macchine virtuali di Azure, PowerShell o API REST.
  • Controllare l'attività : per assicurarsi che le macchine virtuali siano protette in modo appropriato, esaminare gli accessi alle macchine virtuali abilitate per JIT come parte dei normali controlli di sicurezza.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Macchine virtuali supportate: Macchine virtuali distribuite tramite Azure Resource Manager.
Macchine virtuali distribuite con modelli di distribuzione classica. Altre informazioni su questi modelli di distribuzione.
Macchine virtuali protette da Firewall di Azure1 controllate da Firewall di Azure Manager.
Autorizzazioni e ruoli obbligatori: I ruoli Lettore e SecurityReader possono visualizzare sia lo stato JIT che i parametri.
Per creare ruoli personalizzati che possono funzionare con JIT, vedere Quali autorizzazioni sono necessarie per configurare e usare JIT?.
Per creare un ruolo con privilegi minimi per gli utenti che devono richiedere l'accesso JIT a una macchina virtuale e non eseguire altre operazioni JIT, usare lo script Set-JitLeastPrivilegedRole dalle pagine della community di Defender for Cloud GitHub.
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)
Account AWS connessi

1 Per qualsiasi macchina virtuale protetta da Firewall di Azure, JIT proteggerà completamente il computer solo se si trova nella stessa rete virtuale del firewall. Le macchine virtuali che usano il peering reti virtuali non saranno completamente protette.

Abilitare l'accesso JIT alle macchine virtuali

È possibile abilitare l'accesso jit alle macchine virtuali con le proprie opzioni personalizzate per una o più macchine virtuali usando Defender for Cloud o a livello di codice.

In alternativa, è possibile abilitare JIT con parametri predefiniti hardcoded da Macchine virtuali di Azure.

Ognuna di queste opzioni è illustrata in una scheda separata riportata di seguito.

Abilitare JIT nelle macchine virtuali da Microsoft Defender for Cloud

Configuring JIT VM access in Microsoft Defender for Cloud.

Da Defender for Cloud è possibile abilitare e configurare l'accesso jit alla macchina virtuale.

  1. Aprire il dashboard Protezione del carico di lavoro e dall'area protezione avanzata selezionare Accesso JUST-in-time alle macchine virtuali.

    Viene visualizzata la pagina Accesso JUST-in-time alle macchine virtuali raggruppate nelle schede seguenti:

    • Configurato : macchine virtuali già configurate per supportare l'accesso jite alle macchine virtuali. Per ogni macchina virtuale, la scheda configurata mostra:
      • numero di richieste JIT approvate negli ultimi sette giorni
      • data e ora dell'ultimo accesso
      • i dettagli della connessione configurati
      • l'ultimo utente
    • Non configurato : macchine virtuali senza JIT abilitato, ma che possono supportare JIT. È consigliabile abilitare JIT per queste macchine virtuali.
    • Non supportato : macchine virtuali senza JIT abilitato e che non supportano la funzionalità. La macchina virtuale potrebbe trovarsi in questa scheda per i motivi seguenti:
      • Gruppo di sicurezza di rete mancante (NSG) o Firewall di Azure: JIT richiede la configurazione di un gruppo di sicurezza di rete o una configurazione del firewall (o entrambe)
      • MACCHINA virtuale classica: JIT supporta le macchine virtuali distribuite tramite Azure Resource Manager, non la distribuzione classica. Altre informazioni sui modelli di distribuzione classica e azure Resource Manager.
      • Altro: la macchina virtuale potrebbe trovarsi in questa scheda se la soluzione JIT è disabilitata nei criteri di sicurezza della sottoscrizione o del gruppo di risorse.
  2. Nella scheda Non configurato contrassegnare le macchine virtuali da proteggere con JIT e selezionare Abilita JIT nelle macchine virtuali.

    Viene visualizzata la pagina di accesso alla macchina virtuale JIT che elenca le porte consigliate da Defender per Cloud per la protezione:

    • 22 - SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    Per accettare le impostazioni predefinite, selezionare Salva.

  3. Per personalizzare le opzioni JIT:

    • Aggiungere porte personalizzate con il pulsante Aggiungi .
    • Modificare una delle porte predefinite selezionandola dall'elenco.

    Per ogni porta (personalizzata e predefinita) il riquadro Aggiungi configurazione porta offre le opzioni seguenti:

    • Protocollo: protocollo consentito su questa porta quando viene approvata una richiesta
    • INDIRIZZI IP di origine consentiti: intervalli IP consentiti su questa porta quando viene approvata una richiesta
    • Tempo massimo di richiesta: intervallo di tempo massimo durante il quale è possibile aprire una porta specifica
    1. Impostare la sicurezza della porta sulle proprie esigenze.

    2. Selezionare OK.

  4. Selezionare Salva.

Modificare la configurazione JIT in una macchina virtuale abilitata per JIT usando Defender for Cloud

È possibile modificare la configurazione JIR di una macchina virtuale aggiungendo e configurando una nuova porta da proteggere per tale macchina virtuale o modificando qualsiasi altra impostazione correlata a una porta già protetta.

Per modificare le regole JIT esistenti per una macchina virtuale:

  1. Aprire il dashboard Protezione del carico di lavoro e dall'area protezione avanzata selezionare Accesso JUST-in-time alle macchine virtuali.

  2. Nella scheda Configurato fare clic con il pulsante destro del mouse sulla macchina virtuale a cui si vuole aggiungere una porta e scegliere Modifica.

    Editing a JIT VM access configuration in Microsoft Defender for Cloud.

  3. In Configurazione dell'accesso JIT alla VM è possibile modificare le impostazioni esistenti di una porta già protetta o aggiungere una nuova porta personalizzata.

  4. Al termine della modifica delle porte, selezionare Salva.

Richiedere l'accesso a una macchina virtuale abilitata per JIT

È possibile richiedere l'accesso a una macchina virtuale abilitata per JIT dalla portale di Azure (in Defender for Cloud o macchine virtuali di Azure) o a livello di codice.

Ognuna di queste opzioni è illustrata in una scheda separata seguente.

Richiedere l'accesso a una macchina virtuale abilitata per JIT da Microsoft Defender for Cloud

Quando una macchina virtuale ha un JIT abilitato, è necessario richiedere l'accesso per connettersi. È possibile richiedere l'accesso in uno dei modi supportati, indipendentemente dal modo in cui è stato abilitato JIT.

Requesting JIT access from Defender for Cloud.

  1. Nella pagina di accesso alla macchina virtuale JUST-in-time selezionare la scheda Configurata .

  2. Contrassegnare le macchine virtuali a cui si vuole accedere.

    • L'icona nella colonna Dettagli connessione indica se JIT è abilitato nel gruppo di sicurezza di rete o nel firewall. Se è abilitato in entrambi i casi, viene visualizzata solo l'icona del firewall.

    • La colonna Dettagli connessione fornisce le informazioni necessarie per connettere la macchina virtuale e le relative porte aperte.

  3. Selezionare Richiedi accesso. Verrà visualizzata la finestra Richiesta di accesso .

  4. In Richiedi accesso è possibile configurare, per ogni macchina virtuale, le porte da aprire, gli indirizzi IP di origine per cui la porta viene aperta e l'intervallo di tempo per l'apertura della porta. Sarà possibile richiedere solo l'accesso alle porte configurate. Ogni porta ha un tempo massimo consentito derivato dalla configurazione JIT creata.

  5. Selezionare Open ports (Apri porte).

Nota

Se un utente che richiede l'accesso si trova dietro un proxy, l'opzione Indirizzo IP personale potrebbe non funzionare. Potrebbe essere necessario definire l'intervallo di indirizzi IP completo dell'organizzazione.

Controllare l'attività di accesso JIT in Defender for Cloud

È possibile ottenere informazioni approfondite sulle attività delle macchine virtuali tramite la funzionalità Ricerca log. Per visualizzare i log:

  1. Dall'accesso alla macchina virtuale just-in-time selezionare la scheda Configurata.

  2. Per la macchina virtuale che si vuole controllare, aprire il menu con i puntini di sospensione alla fine della riga.

  3. Selezionare Log attività dal menu.

    Select just-in-time JIT activity log.

    Il log attività fornisce una visualizzazione filtrata delle operazioni precedenti per la macchina virtuale insieme all'ora, alla data e alla sottoscrizione.

  4. Per scaricare le informazioni di log, selezionare Scarica come CSV.

Passaggi successivi

In questo articolo si è appreso come configurare e usare l'accesso alle macchine virtuali just-in-time. Per informazioni sul motivo per cui è consigliabile usare JIT, leggere l'articolo sul concetto che illustra le minacce che difende da: