Gestire l'accesso alle macchine virtuali con la funzionalità JIT (Just-in-Time) (anteprima)Manage virtual machine access using just in time (Preview)

L'accesso Just-in-Time alle macchine virtuali può essere usato per bloccare il traffico in ingresso alle macchine virtuali di Azure, riducendo l'esposizione agli attacchi e al tempo stesso offrendo un facile accesso per connettersi alle macchine virtuali quando necessario.Just in time virtual machine (VM) access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Nota

La funzionalità Just-In-Time è in anteprima e disponibile nel livello Standard di Centro sicurezza.The just in time feature is in preview and available on the Standard tier of Security Center. Per altre informazioni sui piani tariffari di Centro sicurezza, vedere Prezzi.See Pricing to learn more about Security Center's pricing tiers.

Scenario di attaccoAttack scenario

Gli attacchi di forza bruta generalmente prendono di mira le porte di gestione per tentare di ottenere l'accesso a una macchina virtuale.Brute force attacks commonly target management ports as a means to gain access to a VM. Se l'attacco ha esito positivo, un utente malintenzionato può assumere il controllo della macchina virtuale e penetrare nell'ambiente.If successful, an attacker can take control over the VM and establish a foothold into your environment.

Un modo per ridurre l'esposizione agli attacchi di forza bruta consiste nel limitare la quantità di tempo per cui la porta è aperta.One way to reduce exposure to a brute force attack is to limit the amount of time that a port is open. Non è necessario lasciare aperte le porte di gestione in qualsiasi momento.Management ports do not need to be open at all times. Devono essere aperte solo durante la connessione alla macchina virtuale, ad esempio per eseguire attività di gestione o manutenzione.They only need to be open while you are connected to the VM, for example to perform management or maintenance tasks. Quando la funzionalità Just-In-Time è abilitata, Centro sicurezza usa le regole del gruppo di sicurezza di rete (NSG), che limitano l'accesso alle porte di gestione per impedire che possano essere attaccate da utenti malintenzionati.When just in time is enabled, Security Center uses Network Security Group (NSG) rules, which restrict access to management ports so they cannot be targeted by attackers.

Scenario Just-in-Time

Come funziona l'accesso Just-in-Time?How does just in time access work?

Quando è abilitata la funzionalità Just-in-Time, Centro sicurezza protegge il traffico in ingresso alle macchine virtuali di Azure creando una regola NSG.When just in time is enabled, Security Center locks down inbound traffic to your Azure VMs by creating an NSG rule. Selezionare le porte nella macchina virtuale per cui proteggere il traffico in ingresso.You select the ports on the VM to which inbound traffic will be locked down. Queste porte sono controllate dalla soluzione Just-in-Time.These ports are controlled by the just in time solution.

Quando un utente richiede l'accesso a una macchina virtuale, il Centro sicurezza controlla che abbuia le autorizzazioni di controllo degli accessi in base al ruolo che forniscono l'accesso in scrittura alla VM.When a user requests access to a VM, Security Center checks that the user has Role-Based Access Control (RBAC) permissions that provide write access for the VM. Se l'utente dispone delle autorizzazioni di scrittura, la richiesta viene approvata e Centro sicurezza configura automaticamente i gruppi di sicurezza di rete per consentire il traffico in entrata alle porte di gestione per il periodo di tempo specificato.If they have write permissions, the request is approved and Security Center automatically configures the Network Security Groups (NSGs) to allow inbound traffic to the management ports for the amount of time you specified. Al termine di questo periodo, Centro sicurezza ripristina gli stati precedenti dei gruppi di sicurezza di rete.After the time has expired, Security Center restores the NSGs to their previous states.

Nota

L'accesso Just-in-Time alle macchine virtuali in Centro sicurezza attualmente supporta solo le macchine virtuali distribuite tramite Azure Resource Manager.Security Center just in time VM access currently supports only VMs deployed through Azure Resource Manager. Per altre informazioni sui modelli di distribuzione classica e con Azure Resource Manager, vedere Distribuzione Azure Resource Manager o classica.To learn more about the classic and Resource Manager deployment models see Azure Resource Manager vs. classic deployment.

Uso dell'accesso Just-in-TimeUsing just in time access

Il riquadro Accesso Just-In-Time alla VM nel Centro sicurezza mostra il numero di macchine virtuali configurate per l'accesso Just-in-Time e il numero di richieste di accesso approvate nell'ultima settimana.The Just in time VM access tile under Security Center shows the number of VMs configured for just in time access and the number of approved access requests made in the last week.

Riquadro Accesso Just-In-Time alla VM

Selezionare il riquadro Accesso Just-In-Time alla VM per aprire Accesso Just-In-Time alla VM.Select the Just in time VM access tile and Just in time VM access opens.

Riquadro Accesso Just-In-Time alla VM

Accesso Just-In-Time alla VM fornisce informazioni sullo stato delle macchine virtuali:Just in time VM access provides information on the state of your VMs:

  • Configurata - Macchine virtuali che sono state configurate per supportare l'accesso Just-In-Time.Configured - VMs that have been configured to support just in time VM access. I dati visualizzati sono relativi all'ultima settimana e includono, per ogni macchina virtuale, il numero di richieste approvate, la data e l'ora dell'ultimo accesso e l'ultimo utente.The data presented is for the last week and includes for each VM the number of approved requests, last access date and time, and last user.
  • Consigliata - Macchine virtuali che possono supportare l'accesso Just-In-Time, ma che non sono state configurate a tale scopo.Recommended - VMs that can support just in time VM access but have not been configured to. È consigliabile abilitare il controllo dell'accesso Just-In-Time per queste macchine virtuali.We recommend that you enable just in time VM access control for these VMs. Vedere Configurazione dei criteri di accesso Just-In-Time.See Configuring a just in time access policy.
  • Nessuna raccomandazione - I motivi per cui una macchina virtuale può risultare non raccomandata sono:No recommendation - Reasons that can cause a VM not to be recommended are:
    • Gruppo di sicurezza di rete mancante - La soluzione Just-In-Time richiede la presenza di un gruppo di sicurezza di rete.Missing NSG - The just in time solution requires an NSG to be in place.
    • Macchina virtuale classica - L'accesso Just-in-Time alle macchine virtuali in Centro sicurezza attualmente supporta solo le macchine virtuali distribuite tramite Azure Resource Manager.Classic VM - Security Center just in time VM access currently supports only VMs deployed through Azure Resource Manager. Una distribuzione classica non è supportata dalla soluzione Just-In-Time.A classic deployment is not supported by the just in time solution.
    • Altro - Una macchina virtuale rientra in questa categoria se la soluzione Just-In-Time è disattivata nei criteri di sicurezza della sottoscrizione o del gruppo di risorse oppure se la macchina virtuale non dispone di un indirizzo IP pubblico e di un gruppo di sicurezza di rete.Other - A VM is in this category if the just in time solution is turned off in the security policy of the subscription or the resource group, or that the VM is missing a public IP and doesn't have an NSG in place.

Configurazione dei criteri di accesso Just-In-TimeConfiguring a just in time access policy

Per selezionare le macchine virtuali da abilitare:To select the VMs that you want to enable:

  1. In Accesso Just-In-Time alla VM selezionare la scheda Consigliata.Under Just in time VM access, select the Recommended tab.

    Abilitare l'accesso Just-in-Time

  2. In MACCHINA VIRTUALE selezionare le VM che si vuole abilitare.Under VIRTUAL MACHINE, select the VMs that you want to enable. Verrà visualizzato un segno di spunta accanto a una macchina virtuale.This puts a checkmark next to a VM.

  3. Selezionare Abilita JIT in VM.Select Enable JIT on VMs.
  4. Selezionare Salva.Select Save.

Porte predefiniteDefault ports

È possibile visualizzare le porte predefinite per cui Centro sicurezza consiglia l'abilitazione della funzionalità Just-In-Time.You can see the default ports that Security Center recommends enabling just in time.

  1. In Accesso Just-In-Time alla VM selezionare la scheda Consigliata.Under Just in time VM access, select the Recommended tab.

    Visualizzare le porte predefinite

  2. In Macchine virtuali selezionare una macchina virtuale.Under VMs, select a VM. Verrà visualizzato un segno di spunta accanto alla macchina virtuale e verrà aperto Configurazione dell'accesso JIT alla VM.This puts a checkmark next to the VM and opens JIT VM access configuration. Questo pannello consente di visualizzare le porte predefinite.This blade displays the default ports.

Aggiungere porteAdd ports

In Configurazione dell'accesso JIT alla VM è anche possibile aggiungere e configurare una nuova porta per cui abilitare la soluzione Just-In-Time.Under JIT VM access configuration, you can also add and configure a new port on which you want to enable the just in time solution.

  1. In Configurazione dell'accesso JIT alla VM selezionare Aggiungi.Under JIT VM access configuration, select Add. Verrà aperto Add port configuration (Aggiungi configurazione porta).This opens Add port configuration.

    Configurazione delle porte

  2. In Add port configuration (Aggiungi configurazione porta) identificare la porta, il tipo di protocollo, gli indirizzi IP di origine consentiti e il tempo massimo per la richiesta.Under Add port configuration, you identify the port, protocol type, allowed source IPs, and maximum request time.

    Gli indirizzi IP di origine consentiti sono gli intervalli IP a cui è consentito di ottenere l'accesso in seguito a una richiesta approvata.Allowed source IPs are the IP ranges allowed to get access upon an approved request.

    Il tempo massimo per la richiesta è l'intervallo di tempo massimo che può essere aperto da una porta specifica.Maximum request time is the maximum time window that a specific port can be opened.

  3. Selezionare OK.Select OK.

Richiedere l'accesso a una macchina virtualeRequesting access to a VM

Per richiedere l'accesso a una macchina virtuale:To request access to a VM:

  1. In Accesso Just-In-Time alla VM selezionare la scheda Configurata.Under Just in time VM access, select the Configured tab.
  2. In Macchine virtuali selezionare le macchine virtuali per cui abilitare l'accesso.Under VMs, select the VMs that you want to enable access. Verrà visualizzato un segno di spunta accanto a una macchina virtuale.This puts a checkmark next to a VM.
  3. Selezionare Richiedi accesso.Select Request access. Si apre Richiedi accesso.This opens Request access.

    Richiedere l'accesso a una macchina virtuale

  4. In Richiedi accesso è possibile configurare, per ogni macchina virtuale, le porte da aprire, l'indirizzo IP di origine per cui la porta viene aperta e l'intervallo di tempo per l'apertura della porta.Under Request access, you configure for each VM the ports to open along with the source IP that the port is opened to and the time window for which the port is opened. È possibile richiedere l'accesso solo alle porte configurate nei criteri Just-In-Time.You can request access only to the ports that are configured in the just in time policy. Ogni porta ha un tempo massimo consentito, derivato dai criteri Just-In-Time.Each port has a maximum allowed time derived from the just in time policy.

  5. Selezionare Open ports (Apri porte).Select Open ports.

Modifica dei criteri di accesso Just-In-TimeEditing a just in time access policy

È possibile modificare i criteri Just-In-Time esistenti di una macchina virtuale aggiungendo e configurando una nuova porta da aprire per la macchina virtuale o modificando qualsiasi altro parametro correlato a una porta già protetta.You can change a VM's existing just in time policy by adding and configuring a new port to open for that VM, or by changing any other parameter related to an already protected port.

Per modificare i criteri Just-In-Time esistenti di una macchina virtuale, viene usata la scheda Configurata:In order to edit an existing just in time policy of a VM, the Configured tab is used:

  1. In Macchine virtuali selezionare una macchina virtuale a cui aggiungere una porta facendo clic sui tre puntini nella riga della macchina virtuale.Under VMs, select a VM to add a port to by clicking on the three dots within the row for that VM. Verrà aperto un menu.This opens a menu.
  2. Selezionare Modifica nel menu.Select Edit in the menu. Verrà visualizzato Configurazione dell'accesso JIT alla VM.This opens JIT VM access configuration.

    Modificare i criteri

  3. In Configurazione dell'accesso JIT alla VM è possibile modificare le impostazioni esistenti di una porta già protetta facendo clic sulla porta desiderata oppure è possibile selezionare Aggiungi.Under JIT VM access configuration, you can either edit the existing settings of an already protected port by clicking on its port, or you can select Add. Verrà aperto Add port configuration (Aggiungi configurazione porta).This opens Add port configuration.

    Aggiungere una porta

  4. In Add port configuration (Aggiungi configurazione porta) identificare la porta, il tipo di protocollo, gli indirizzi IP di origine consentiti e il tempo massimo per la richiesta.Under Add port configuration, identify the port, protocol type, allowed source IPs, and maximum request time.

  5. Selezionare OK.Select OK.
  6. Selezionare Salva.Select Save.

Controllo delle attività di accesso Just-in-TimeAuditing just in time access activity

È possibile ottenere informazioni approfondite sulle attività delle macchine virtuali tramite la funzionalità Ricerca log.You can gain insights into VM activities using log search. Per visualizzare i log:To view logs:

  1. In Accesso Just-In-Time alla VM selezionare la scheda Configurata.Under Just in time VM access, select the Configured tab.
  2. In Macchine virtuali selezionare una macchina virtuale per cui visualizzare le informazioni facendo clic sui tre puntini nella riga della macchina virtuale.Under VMs, select a VM to view information about by clicking on the three dots within the row for that VM. Verrà aperto un menu.This opens a menu.
  3. Selezionare Log attività nel menu.Select Activity Log in the menu. Si apre Log attività.This opens Activity log.

    Selezionare il log attività

    Log attività fornisce una visualizzazione filtrata delle operazioni precedenti per la macchina virtuale, con data, ora e sottoscrizione.Activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

    Visualizzare il log attività

È possibile scaricare le informazioni del log selezionando Fare clic qui per scaricare tutti gli elementi come file CSV.You can download the log information by selecting Click here to download all the items as CSV.

Modificare i filtri e selezionare Applica per creare un log ed eseguire ricerche.Modify the filters and select Apply to create a search and log.

Uso dell'accesso Just-In-Time alle macchine virtuali tramite PowerShellUsing just in time VM access via PowerShell

Per usare la soluzione Just-In-Time tramite PowerShell, verificare di disporre della versione più recente di Azure PowerShell.In order to use the just in time solution via PowerShell, make sure you have the latest Azure PowerShell version. È quindi necessario installare la versione più recente del Centro sicurezza di Azure da PowerShell Gallery.Once you do, you need to install the latest Azure Security Center from the PowerShell gallery.

Configurazione dei criteri Just-In-Time per una macchina virtualeConfiguring a just in time policy for a VM

Per configurare i criteri Just-In-Time in una macchina virtuale specifica, è necessario eseguire il comando seguente nella sessione di PowerShell: Set-ASCJITAccessPolicy.To configure a just in time policy on a specific VM, you need to run this command in your PowerShell session: Set-ASCJITAccessPolicy. Per altre informazioni, vedere la documentazione del cmdlet.Follow the cmdlet documentation to learn more.

Richiedere l'accesso a una macchina virtualeRequesting access to a VM

Per accedere a una macchina virtuale specifica che è protetta con la soluzione Just-In-Time, è necessario eseguire il comando seguente nella sessione di PowerShell: Invoke-ASCJITAccess.To access a specific VM that is protected with the just in time solution, you need to run this command in your PowerShell session: Invoke-ASCJITAccess. Per altre informazioni, vedere la documentazione del cmdlet.Follow the cmdlet documentation to learn more.

Passaggi successiviNext steps

In questo articolo è stato illustrato come usare l'accesso JIT (Just-in-Time) alle macchine virtuali in Centro sicurezza per controllare l'accesso alle macchine virtuali di Azure.In this article, you learned how just in time VM access in Security Center helps you control access to your Azure virtual machines.

Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: