Gestire l'accesso alle macchine virtuali con la funzionalità JIT (Just-in-Time)

L'accesso Just-in-Time alle macchine virtuali può essere usato per bloccare il traffico in ingresso alle macchine virtuali di Azure, riducendo l'esposizione agli attacchi e al tempo stesso offrendo un facile accesso per connettersi alle macchine virtuali quando necessario.

Nota

La funzionalità Just-In-Time è in anteprima e disponibile nel livello Standard di Centro sicurezza. Per altre informazioni sui piani tariffari di Centro sicurezza, vedere Prezzi.

Scenario di attacco

Gli attacchi di forza bruta generalmente prendono di mira le porte di gestione per tentare di ottenere l'accesso a una macchina virtuale. Se l'attacco ha esito positivo, un utente malintenzionato può assumere il controllo della macchina virtuale e penetrare nell'ambiente.

Un modo per ridurre l'esposizione agli attacchi di forza bruta consiste nel limitare la quantità di tempo per cui la porta è aperta. Non è necessario lasciare aperte le porte di gestione in qualsiasi momento. Devono essere aperte solo durante la connessione alla macchina virtuale, ad esempio per eseguire attività di gestione o manutenzione. Quando la funzionalità Just-In-Time è abilitata, Centro sicurezza usa le regole del gruppo di sicurezza di rete (NSG), che limitano l'accesso alle porte di gestione per impedire che possano essere attaccate da utenti malintenzionati.

Scenario Just-in-Time

Come funziona l'accesso Just-in-Time?

Quando è abilitata la funzionalità Just-in-Time, Centro sicurezza protegge il traffico in ingresso alle macchine virtuali di Azure creando una regola NSG. Selezionare le porte nella macchina virtuale per cui proteggere il traffico in ingresso. Queste porte sono controllate dalla soluzione Just-in-Time.

Quando un utente richiede l'accesso a una macchina virtuale, Centro sicurezza controlla che l'utente disponga di autorizzazioni di controllo degli accessi in base al ruolo (RBAC) che forniscono l'accesso in scrittura alla risorsa di Azure. Se l'utente dispone delle autorizzazioni di scrittura, la richiesta viene approvata e Centro sicurezza configura automaticamente i gruppi di sicurezza di rete per consentire il traffico in entrata alle porte di gestione per il periodo di tempo specificato. Al termine di questo periodo, Centro sicurezza ripristina gli stati precedenti dei gruppi di sicurezza di rete.

Nota

L'accesso Just-in-Time alle macchine virtuali in Centro sicurezza attualmente supporta solo le macchine virtuali distribuite tramite Azure Resource Manager. Per altre informazioni sui modelli di distribuzione classica e con Azure Resource Manager, vedere Distribuzione Azure Resource Manager o classica.

Uso dell'accesso Just-in-Time

Il riquadro Accesso Just-In-Time alla VM nel pannello Centro sicurezza mostra il numero di macchine virtuali configurate per l'accesso Just-in-Time e il numero di richieste di accesso approvate nell'ultima settimana.

Selezionare il riquadro Accesso Just-In-Time alla VM per aprire il pannello Accesso Just-In-Time alla VM.

Riquadro Accesso Just-In-Time alla VM

Il pannello Accesso Just-In-Time alla VM fornisce informazioni sullo stato delle macchine virtuali:

  • Configurata - Macchine virtuali che sono state configurate per supportare l'accesso Just-In-Time. I dati visualizzati sono relativi all'ultima settimana e includono, per ogni macchina virtuale, il numero di richieste approvate, la data e l'ora dell'ultimo accesso e l'ultimo utente.
  • Consigliata - Macchine virtuali che possono supportare l'accesso Just-In-Time, ma che non sono state configurate a tale scopo. È consigliabile abilitare il controllo dell'accesso Just-In-Time per queste macchine virtuali. Vedere Abilitare l'accesso Just-In-Time alle macchine virtuali.
  • Nessuna raccomandazione - I motivi per cui una macchina virtuale può risultare non raccomandata sono:
    • Gruppo di sicurezza di rete mancante - La soluzione Just-In-Time richiede la presenza di un gruppo di sicurezza di rete.
    • Macchina virtuale classica - L'accesso Just-in-Time alle macchine virtuali in Centro sicurezza attualmente supporta solo le macchine virtuali distribuite tramite Azure Resource Manager. Una distribuzione classica non è supportata dalla soluzione Just-In-Time.
    • Altro - Una macchina virtuale rientra in questa categoria se la soluzione Just-In-Time è disattivata nei criteri di sicurezza della sottoscrizione o del gruppo di risorse oppure se la macchina virtuale non dispone di un indirizzo IP pubblico e di un gruppo di sicurezza di rete.

Configurazione dei criteri di accesso Just-In-Time

Per selezionare le macchine virtuali da abilitare:

  1. Nel pannello Accesso Just-In-Time alla VM selezionare la scheda Consigliata.

    Abilitare l'accesso Just-in-Time

  2. In Macchine virtuali selezionare le macchine virtuali da abilitare. Verrà visualizzato un segno di spunta accanto a una macchina virtuale.

  3. Selezionare Abilita JIT in VM.
  4. Selezionare Salva.

Porte predefinite

È possibile visualizzare le porte predefinite per cui Centro sicurezza consiglia l'abilitazione della funzionalità Just-In-Time.

  1. Nel pannello Accesso Just-In-Time alla VM selezionare la scheda Consigliata.

    Visualizzare le porte predefinite

  2. In Macchine virtuali selezionare una macchina virtuale. Verrà visualizzato un segno di spunta accanto alla macchina virtuale e verrà aperto il pannello JIT VM access configuration (Configurazione accesso Just-In-Time alla VM). Questo pannello consente di visualizzare le porte predefinite.

Aggiungere porte

Dal pannello JIT VM access configuration (Configurazione accesso Just-In-Time alla VM) è anche possibile aggiungere e configurare una nuova porta per cui abilitare la soluzione Just-In-Time.

  1. Nel pannello JIT VM access configuration (Configurazione accesso Just-In-Time alla VM) selezionare Aggiungi. Verrà aperto il pannello Add port configuration (Aggiungi configurazione porta).

    Configurazione delle porte

  2. Nel pannello Add port configuration (Aggiungi configurazione porta) identificare la porta, il tipo di protocollo, gli indirizzi IP di origine consentiti e il tempo massimo per la richiesta.

    Gli indirizzi IP di origine consentiti sono gli intervalli IP a cui è consentito di ottenere l'accesso in seguito a una richiesta approvata.

    Il tempo massimo per la richiesta è l'intervallo di tempo massimo che può essere aperto da una porta specifica.

  3. Selezionare OK.

Richiedere l'accesso a una macchina virtuale

Per richiedere l'accesso a una macchina virtuale:

  1. Nel pannello Accesso Just-In-Time alla VM selezionare la scheda Configurata.
  2. In Macchine virtuali selezionare le macchine virtuali per cui abilitare l'accesso. Verrà visualizzato un segno di spunta accanto a una macchina virtuale.
  3. Selezionare Richiedi accesso. Verrà aperto il pannello Richiedi accesso.

    Richiedere l'accesso a una macchina virtuale

  4. Nel pannello Richiedi accesso è possibile configurare, per ogni macchina virtuale, le porte da aprire, l'indirizzo IP di origine per cui la porta è aperta e l'intervallo di tempo per l'apertura della porta. È possibile richiedere l'accesso solo alle porte configurate nei criteri Just-In-Time. Ogni porta ha un tempo massimo consentito, derivato dai criteri Just-In-Time.

  5. Selezionare Open ports (Apri porte).

Modifica dei criteri di accesso Just-In-Time

È possibile modificare i criteri Just-In-Time esistenti di una macchina virtuale aggiungendo e configurando una nuova porta da aprire per la macchina virtuale o modificando qualsiasi altro parametro correlato a una porta già protetta.

Per modificare i criteri Just-In-Time esistenti di una macchina virtuale, viene usata la scheda Configurata:

  1. In Macchine virtuali selezionare una macchina virtuale a cui aggiungere una porta facendo clic sui tre puntini nella riga della macchina virtuale. Verrà aperto un menu.
  2. Selezionare Modifica nel menu. Verrà visualizzato il pannello JIT VM access configuration (Configurazione accesso Just-In-Time alla VM).

    Modificare i criteri

  3. Nel pannello JIT VM access configuration (Configurazione accesso Just-In-Time alla VM) è possibile modificare le impostazioni esistenti di una porta già protetta facendo clic sulla porta desiderata oppure è possibile selezionare Aggiungi. Verrà aperto il pannello Add port configuration (Aggiungi configurazione porta).

    Aggiungere una porta

  4. Nel pannello Add port configuration (Aggiungi configurazione porta) identificare la porta, il tipo di protocollo, gli indirizzi IP di origine consentiti e il tempo massimo per la richiesta.

  5. Selezionare OK.
  6. Selezionare Salva.

Controllo delle attività di accesso Just-in-Time

È possibile ottenere informazioni approfondite sulle attività delle macchine virtuali tramite la funzionalità Ricerca log. Per visualizzare i log:

  1. Nel pannello Accesso Just-In-Time alla VM selezionare la scheda Configurata.
  2. In Macchine virtuali selezionare una macchina virtuale per cui visualizzare le informazioni facendo clic sui tre puntini nella riga della macchina virtuale. Verrà aperto un menu.
  3. Selezionare Log attività nel menu. Verrà aperto il pannello Log attività.

Selezionare il log attività

Il pannello Log attività fornisce una visualizzazione filtrata delle operazioni precedenti per la macchina virtuale, con data, ora e sottoscrizione.

Visualizzare il log attività

È possibile scaricare le informazioni del log selezionando Fare clic qui per scaricare tutti gli elementi come file CSV.

Modificare i filtri e selezionare Applica per creare un log ed eseguire ricerche.

Uso dell'accesso Just-In-Time alle macchine virtuali tramite PowerShell

Per usare la soluzione Just-In-Time tramite PowerShell, verificare di disporre della versione più recente di Azure PowerShell. È quindi necessario installare la versione più recente del Centro sicurezza di Azure da PowerShell Gallery.

Configurazione dei criteri Just-In-Time per una macchina virtuale

Per configurare i criteri Just-In-Time in una macchina virtuale specifica, è necessario eseguire il comando seguente nella sessione di PowerShell: Set-ASCJITAccessPolicy. Per altre informazioni, vedere la documentazione del cmdlet.

Richiedere l'accesso a una macchina virtuale

Per accedere a una macchina virtuale specifica che è protetta con la soluzione Just-In-Time, è necessario eseguire il comando seguente nella sessione di PowerShell: Invoke-ASCJITAccess. Per altre informazioni, vedere la documentazione del cmdlet.

Passaggi successivi

In questo articolo è stato illustrato come usare l'accesso JIT (Just-in-Time) alle macchine virtuali in Centro sicurezza per controllare l'accesso alle macchine virtuali di Azure.

Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti: