Proteggere le porte di gestione con accesso just-in-TimeSecure your management ports with just-in-time access

Bloccare il traffico in ingresso alle macchine virtuali di Azure con la funzionalità di accesso JIT (just-in-Time) del Centro sicurezza di Azure (VM).Lock down inbound traffic to your Azure Virtual Machines with Azure Security Center's just-in-time (JIT) virtual machine (VM) access feature. In questo modo si riduce l'esposizione agli attacchi offrendo un facile accesso quando è necessario connettersi a una macchina virtuale.This reduces exposure to attacks while providing easy access when you need to connect to a VM.

Per una spiegazione completa del funzionamento di JIT e della logica sottostante, vedere la pagina relativa alla spiegazione JIT.For a full explanation about how JIT works and the underlying logic, see Just-in-time explained.

Questa pagina illustra come includere JIT nel programma di sicurezza.This page teaches you how to include JIT in your security program. Si apprenderà come:You'll learn how to:

  • Abilitare JIT nelle VM : è possibile abilitare JIT con le proprie opzioni personalizzate per una o più macchine virtuali con il Centro sicurezza, PowerShell o l'API REST.Enable JIT on your VMs - You can enable JIT with your own custom options for one or more VMs using Security Center, PowerShell, or the REST API. In alternativa, è possibile abilitare JIT con parametri hardcoded predefiniti da macchine virtuali di Azure.Alternatively, you can enable JIT with default, hard-coded parameters, from Azure virtual machines. Se abilitata, JIT blocca il traffico in ingresso nelle macchine virtuali di Azure creando una regola nel gruppo di sicurezza di rete.When enabled, JIT locks down inbound traffic to your Azure VMs by creating a rule in your network security group.
  • Richiedere l'accesso a una macchina virtuale in cui è abilitato JIT : l'obiettivo di JIT è garantire che anche se il traffico in ingresso è bloccato, il Centro sicurezza offre ancora un facile accesso per connettersi alle macchine virtuali quando necessario.Request access to a VM that has JIT enabled - The goal of JIT is to ensure that even though your inbound traffic is locked down, Security Center still provides easy access to connect to VMs when needed. È possibile richiedere l'accesso a una macchina virtuale abilitata per JIT dal centro sicurezza, dalle macchine virtuali di Azure, da PowerShell o dall'API REST.You can request access to a JIT-enabled VM from Security Center, Azure virtual machines, PowerShell, or the REST API.
  • Controllare l'attività : per assicurarsi che le macchine virtuali siano protette in modo appropriato, esaminare gli accessi alle macchine virtuali abilitate per JIT nell'ambito dei normali controlli di sicurezza.Audit the activity - To ensure your VMs are secured appropriately, review the accesses to your JIT-enabled VMs as part of your regular security checks.

DisponibilitàAvailability

AspettoAspect DettagliDetails
Stato della versione:Release state: Disponibilità generale (GA)General Availability (GA)
Prezzi:Pricing: Richiede Azure Defender per serverRequires Azure Defender for servers
Macchine virtuali supportate:Supported VMs: Sì macchine virtuali distribuite tramite Azure Resource Manager.Yes VMs deployed through Azure Resource Manager.
Non sono state distribuite VM con i modelli di distribuzione classica.No VMs deployed with classic deployment models. Altre informazioni su questi modelli di distribuzione.Learn more about these deployment models.
Nessuna macchina virtuale protetta da firewall di Azure controllata da gestione firewall di AzureNo VMs protected by Azure Firewalls controlled by Azure Firewall Manager
Autorizzazioni e ruoli obbligatori:Required roles and permissions: I ruoli Reader e SecurityReader possono visualizzare lo stato e i parametri JIT.Reader and SecurityReader roles can both view the JIT status and parameters.
Per creare ruoli personalizzati che possono funzionare con JIT, vedere quali sono le autorizzazioni necessarie per configurare e usare JIT?.To create custom roles that can work with JIT, see What permissions are needed to configure and use JIT?.
Per creare un ruolo con privilegi minimi per gli utenti che devono richiedere l'accesso JIT a una macchina virtuale e non eseguire altre operazioni JIT, usare lo script set-JitLeastPrivilegedRole delle pagine della community di GitHub del Centro sicurezza.To create a least-privileged role for users that need to request JIT access to a VM, and perform no other JIT operations, use the Set-JitLeastPrivilegedRole script from the Security Center GitHub community pages.
Cloud:Clouds: Sì Cloud commercialiCommercial clouds
Sì Cloud nazionali/sovrani (US Gov, governo cinese, altri governi)National/Sovereign (US Gov, China Gov, Other Gov)

Abilitare l'accesso JIT alla VM Enable JIT VM access

È possibile abilitare l'accesso JIT alle VM con le opzioni personalizzate per una o più macchine virtuali con il Centro sicurezza o a livello di codice.You can enable JIT VM access with your own custom options for one or more VMs using Security Center or programmatically.

In alternativa, è possibile abilitare JIT con parametri hardcoded predefiniti da macchine virtuali di Azure.Alternatively, you can enable JIT with default, hard-coded parameters, from Azure Virtual machines.

Ognuna di queste opzioni è illustrata in una scheda separata riportata di seguito.Each of these options is explained in a separate tab below.

Abilitare JIT nelle VM dal centro sicurezza di Azure Enable JIT on your VMs from Azure Security Center

Configurazione dell'accesso JIT alle macchine virtuali nel centro sicurezza di Azure

Dal centro sicurezza è possibile abilitare e configurare l'accesso JIT alla macchina virtuale.From Security Center, you can enable and configure the JIT VM access.

  1. Aprire il dashboard di Azure Defender e dall'area protezione avanzata selezionare accesso just-in-time alle macchine virtuali.Open the Azure Defender dashboard and from the advanced protection area, select Just-in-time VM access.

    Viene visualizzata la pagina di accesso just-in-time alle VM con le macchine virtuali raggruppate nelle schede seguenti:The Just-in-time VM access page opens with your VMs grouped into the following tabs:

    • Configurate : macchine virtuali che sono già state configurate per supportare l'accesso just-in-time alle macchine virtuali.Configured - VMs that have been already been configured to support just-in-time VM access. Per ogni macchina virtuale, la scheda configurata Mostra:For each VM, the configured tab shows:
      • numero di richieste JIT approvate negli ultimi sette giornithe number of approved JIT requests in the last seven days
      • Data e ora dell'ultimo accessothe last access date and time
      • dettagli della connessione configuratithe connection details configured
      • Ultimo utentethe last user
    • Non configurato : le macchine virtuali senza JIT sono abilitate, ma in grado di supportare JIT.Not configured - VMs without JIT enabled, but that can support JIT. Si consiglia di abilitare JIT per queste macchine virtuali.We recommend that you enable JIT for these VMs.
    • Non supportate : le macchine virtuali senza JIT sono abilitate e non supportano la funzionalità.Unsupported - VMs without JIT enabled and which don't support the feature. La macchina virtuale potrebbe trovarsi in questa scheda per i motivi seguenti:Your VM might be in this tab for the following reasons:
      • Gruppo di sicurezza di rete mancante (NSG): JIT richiede la configurazione di un NSGMissing network security group (NSG) - JIT requires an NSG to be configured
      • VM classica: JIT supporta le macchine virtuali distribuite tramite Azure Resource Manager, non "distribuzione classica".Classic VM - JIT supports VMs that are deployed through Azure Resource Manager, not 'classic deployment'. Altre informazioni sui modelli di distribuzione classica di Visual studio Azure Resource Manager.Learn more about classic vs Azure Resource Manager deployment models.
      • Altro: la macchina virtuale potrebbe trovarsi in questa scheda se la soluzione JIT è disabilitata nei criteri di sicurezza della sottoscrizione o del gruppo di risorse.Other - Your VM might be in this tab if the JIT solution is disabled in the security policy of the subscription or the resource group.
  2. Dalla scheda non configurata , contrassegnare le VM da proteggere con JIT e selezionare Abilita JIT sulle VM.From the Not configured tab, mark the VMs to protect with JIT and select Enable JIT on VMs.

    Viene visualizzata la pagina accesso JIT alla macchina virtuale che elenca le porte che il Centro sicurezza consiglia di proteggere:The JIT VM access page opens listing the ports that Security Center recommends protecting:

    • 22 - SSH22 - SSH
    • 3389 - RDP3389 - RDP
    • 5985 - WinRM5985 - WinRM
    • 5986 - WinRM5986 - WinRM

    Per accettare le impostazioni predefinite, selezionare Salva.To accept the default settings, select Save.

  3. Per personalizzare le opzioni JIT:To customize the JIT options:

    • Aggiungere porte personalizzate con il pulsante Aggiungi .Add custom ports with the Add button.
    • Modificare una delle porte predefinite selezionandola nell'elenco.Modify one of the default ports, by selecting it from the list.

    Per ogni porta (personalizzata e predefinita) il riquadro configurazione aggiunta porta offre le opzioni seguenti:For each port (custom and default) the Add port configuration pane offers the following options:

    • Protocollo: protocollo consentito su questa porta quando viene approvata una richiestaProtocol- The protocol that is allowed on this port when a request is approved
    • Indirizzi IP di origine consentiti: intervalli IP consentiti su questa porta quando viene approvata una richiestaAllowed source IPs- The IP ranges that are allowed on this port when a request is approved
    • Tempo di richiesta massimo: intervallo di tempo massimo durante il quale è possibile aprire una porta specificaMaximum request time- The maximum time window during which a specific port can be opened
    1. Impostare la sicurezza delle porte in base alle esigenze.Set the port security to your needs.

    2. Selezionare OK.Select OK.

  4. Selezionare Salva.Select Save.

Modificare la configurazione JIT in una VM abilitata per JIT usando il Centro sicurezza Edit the JIT configuration on a JIT-enabled VM using Security Center

È possibile modificare la configurazione JIT di una macchina virtuale aggiungendo e configurando una nuova porta da proteggere per tale macchina virtuale o modificando qualsiasi altra impostazione correlata a una porta già protetta.You can modify a VM's just-in-time configuration by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

Per modificare le regole JIT esistenti per una macchina virtuale:To edit the existing JIT rules for a VM:

  1. Aprire il dashboard di Azure Defender e dall'area protezione avanzata selezionare controlli applicazione adattivi.Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

  2. Dalla scheda configurato , fare clic con il pulsante destro del mouse sulla macchina virtuale a cui si desidera aggiungere una porta e scegliere modifica.From the Configured tab, right-click on the VM to which you want to add a port, and select edit.

    Modifica di una configurazione di accesso JIT alla VM nel centro sicurezza di Azure

  3. In Configurazione dell'accesso JIT alla VM è possibile modificare le impostazioni esistenti di una porta già protetta o aggiungere una nuova porta personalizzata.Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port.

  4. Al termine della modifica delle porte, selezionare Salva.When you've finished editing the ports, select Save.

Richiedere l'accesso a una macchina virtuale abilitata per JITRequest access to a JIT-enabled VM

È possibile richiedere l'accesso a una VM abilitata per JIT dal portale di Azure (nel centro sicurezza o macchine virtuali di Azure) o a livello di codice.You can request access to a JIT-enabled VM from the Azure portal (in Security Center or Azure Virtual machines) or programmatically.

Ognuna di queste opzioni è illustrata in una scheda separata riportata di seguito.Each of these options is explained in a separate tab below.

Richiedere l'accesso a una macchina virtuale abilitata per JIT dal centro sicurezza di AzureRequest access to a JIT-enabled VM from Azure Security Center

Quando per una macchina virtuale è abilitata la modalità JIT, è necessario richiedere l'accesso per la connessione.When a VM has a JIT enabled, you have to request access to connect to it. È possibile richiedere l'accesso in qualsiasi modo supportato, indipendentemente dal modo in cui è stato abilitato JIT.You can request access in any of the supported ways, regardless of how you enabled JIT.

Richiesta dell'accesso JIT dal centro sicurezza

  1. Dalla pagina accesso just-in-time alle VM selezionare la scheda configurata .From the Just-in-time VM access page, select the Configured tab.

  2. Contrassegnare le macchine virtuali a cui si vuole accedere.Mark the VMs you want to access.

    • L'icona nella colonna Dettagli connessione indica se JIT è abilitato nel gruppo di sicurezza di rete o nel firewall.The icon in the Connection Details column indicates whether JIT is enabled on the network security group or firewall. Se è abilitata su entrambi, viene visualizzata solo l'icona del firewall.If it's enabled on both, only the firewall icon appears.

    • La colonna Dettagli connessione fornisce le informazioni necessarie per connettere la macchina virtuale e le relative porte aperte.The Connection Details column provides the information required to connect the VM, and its open ports.

  3. Selezionare Richiedi accesso.Select Request access. Verrà visualizzata la finestra Richiedi accesso .The Request access window opens.

  4. In Richiedi accesso è possibile configurare, per ogni macchina virtuale, le porte da aprire, gli indirizzi IP di origine per cui la porta viene aperta e l'intervallo di tempo per l'apertura della porta.Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. Sarà possibile richiedere l'accesso alle porte configurate.It will only be possible to request access to the configured ports. Ogni porta ha un tempo massimo consentito derivato dalla configurazione JIT creata.Each port has a maximum allowed time derived from the JIT configuration you've created.

  5. Selezionare Open ports (Apri porte).Select Open ports.

Nota

Se un utente che richiede l'accesso si trova dietro un proxy, l'opzione Indirizzo IP personale potrebbe non funzionare.If a user who is requesting access is behind a proxy, the option My IP may not work. Potrebbe essere necessario definire l'intervallo di indirizzi IP completo dell'organizzazione.You may need to define the full IP address range of the organization.

Controllare l'attività di accesso JIT nel centro sicurezzaAudit JIT access activity in Security Center

È possibile ottenere informazioni approfondite sulle attività delle macchine virtuali tramite la funzionalità Ricerca log.You can gain insights into VM activities using log search. Per visualizzare i log:To view the logs:

  1. Dall' accesso just-in-time alle macchine virtuali, selezionare la scheda configurata .From Just-in-time VM access, select the Configured tab.

  2. Per la macchina virtuale che si desidera controllare, aprire il menu con i puntini di sospensione alla fine della riga.For the VM that you want to audit, open the ellipsis menu at the end of the row.

  3. Selezionare log attività dal menu.Select Activity Log from the menu.

    Selezionare il log attività JIT just-in-Time

    Il log attività fornisce una visualizzazione filtrata delle operazioni precedenti per tale macchina virtuale insieme a data, ora e sottoscrizione.The activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

  4. Per scaricare le informazioni del log, selezionare Scarica come CSV.To download the log information, select Download as CSV.

Passaggi successiviNext steps

In questo articolo si è appreso come configurare e usare l'accesso just-in-time alle macchine virtuali.In this article, you learned how to set up and use just-in-time VM access. Per informazioni sul motivo per cui è necessario usare JIT, leggere l'articolo del concetto che descrive le minacce da difendere:To learn why JIT should be used, read the concept article explaining the threats it's defending against: