Proteja suas portas de gerenciamento com acesso just-in-time

Bloqueie o tráfego de entrada nas suas máquinas virtuais do Azure com o recurso de acesso à VM (máquina virtual) JIT (just-in-time) do Microsoft Defender para Nuvem. Isso reduz a exposição a ataques e, ao mesmo tempo, fornece acesso fácil quando você precisa se conectar a uma VM.

Para obter uma explicação completa sobre como o JIT funciona e a lógica subjacente, consulte o just-in-time explicado.

Para uma explicação completa dos requisitos de privilégio, confira Quais permissões são necessárias para configurar e usar o JIT?.

Esta página ensina como incluir o JIT em seu programa de segurança. Você aprenderá a:

  • Habilitar o JIT em suas VMs: você pode habilitar o JIT com as próprias opções personalizadas para uma ou mais VMs usando o Defender for Cloud, o PowerShell ou a API REST. Como alternativa, você pode habilitar o JIT com parâmetros padrão, embutidos em código, de máquinas virtuais do Azure. Quando habilitada, o JIT bloqueia o tráfego de entrada às suas VMs do Azure criando uma regra no seu grupo de segurança de rede.
  • Solicitar acesso a uma VM que tenha o JIT habilitado: o objetivo do JIT é garantir que, embora o tráfego de entrada seja bloqueado, o Defender for Cloud ainda fornece acesso fácil para se conectar às VMs quando necessário. Você pode solicitar acesso a uma VM habilitada para JIT do Defender for Cloud, máquinas virtuais do Azure, PowerShell ou API REST.
  • Auditar a atividade -para garantir que suas VMs sejam protegidas adequadamente, examine os acessos às suas VMs habilitadas para JIT como parte de suas verificações de segurança regulares.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
VMs com suporte: VMs implantadas por meio do Azure Resource Manager.
VMs implantada com modelos de implantação clássicos. Saiba mais sobre esses modelos de implantações.
VMs protegidas pelos Firewalls do Azure1 controlados pelo Gerenciador de Firewall do Azure.
Funções e permissões necessárias: As funções Reader e SecurityReader podem exibir o status e os parâmetros do JIT.
Para criar funções personalizadas que podem funcionar com o JIT, consulte Quais permissões são necessárias para configurar e usar o JIT?.
Para criar uma função com privilégios mínimos para usuários que precisam solicitar acesso JIT a uma VM e não executar outras operações JIT, use o script Set-JitLeastPrivilegedRole das páginas da comunidade do GitHub do Defender for Cloud.
Nuvens: Nuvens comerciais
Nacional (Azure Governamental, Azure China 21Vianet)
Contas da AWS conectadas

1 Para qualquer VM protegida pelo Firewall do Azure, o JIT só protegerá totalmente a máquina se ela estiver na mesma VNET que o firewall. As VMs que usam o emparelhamento VNET não serão totalmente protegidas.

Habilitar o acesso à VM JIT

Você pode habilitar o acesso à VM JIT com suas próprias opções personalizadas para uma ou mais VMs usando o Defender for Cloud ou programaticamente.

Como alternativa, você pode habilitar o JIT com parâmetros padrão, embutidos em código, de máquinas Virtuais do Azure.

Cada uma dessas opções é explicada em uma guia separada abaixo.

Habilitar o JIT em suas VMs do Microsoft Defender para Nuvem

Configuring JIT VM access in Microsoft Defender for Cloud.

No Defender para Nuvem, você pode habilitar e configurar o acesso à VM JIT.

  1. Abra o painel de proteção de cargas de trabalho e na área proteção avançada, selecione acesso à VM just-in-time.

    A página de acesso da VM just-in-time é aberta com suas VMs agrupadas nas seguintes guias:

    • Configurado: VMs que já foram configuradas para dar suporte ao acesso JIT à VM. Para cada VM, a guia configurada mostra:
      • o número de solicitações de JIT aprovadas nos últimos sete dias
      • Data e hora do último acesso
      • Detalhes da conexão configurada
      • o último usuário
    • Não configurado -VMs sem o JIT habilitado, mas que podem dar suporte a JIT. Recomendamos que você habilite o JIT para essas VMs.
    • Não há suporte para VMs sem o JIT habilitado e que não dão suporte ao recurso. Sua VM pode estar nessa guia pelos seguintes motivos:
      • Ausência de NSG (grupo de segurança de rede) ou Firewall do Azure – o JIT exige que um NSG seja configurado ou uma configuração de Firewall (ou ambos)
      • VM clássica-JIT dá suporte a VMs implantadas por meio de Azure Resource Manager, não ' implantação clássica '. Saiba mais sobre os modelos de implantação clássica vs. Gerenciado de Recursos do Azure.
      • Outros-sua VM pode estar nessa guia se a solução JIT estiver desabilitada na política de segurança da assinatura ou do grupo de recursos.
  2. Na guia não configurada , marque as VMs a serem protegidas com JIT e selecione habilitar JIT em VMs.

    A página acesso à VM JIT é aberta listando as portas que o Defender para Nuvem recomenda proteger:

    • 22: SSH
    • 3389: RDP
    • 5985: WinRM
    • 5986: WinRM

    Para aceitar as configurações padrão, selecione Salvar.

  3. Para personalizar as opções de JIT:

    • Adicione portas personalizadas com o botão Adicionar.
    • Modifique uma das portas padrão, selecionando-a na lista.

    Para cada porta (personalizada e padrão), o painel Adicionar configuração de porta oferece as seguintes opções:

    • Protocolo - o protocolo permitido nesta porta quando uma solicitação for aprovada.
    • IPs de origem permitida - os intervalos de IP permitidos nesta porta quando uma solicitação for aprovada.
    • Tempo máximo de solicitação - o intervalo de tempo máximo durante o qual uma porta específica pode ficar aberta.
    1. Defina a segurança de porta para suas necessidades.

    2. Selecione OK.

  4. Selecione Salvar.

Editar a configuração do JIT em uma VM habilitada para JIT usando Defender para Nuvem

Você pode alterar a configuração Just-In-Time de uma VM adicionando e configurando uma nova porta a ser aberta para essa VM ou alterando qualquer outro parâmetro relacionado a uma porta já protegida.

Para editar as regras de JIT existentes para uma VM:

  1. Abra o painel de proteção de cargas de trabalho e na área proteção avançada, selecione acesso à VM just-in-time.

  2. Na guia configurada, clique com o botão direito do mouse na VM à qual você deseja adicionar uma porta e selecione Editar.

    Editing a JIT VM access configuration in Microsoft Defender for Cloud.

  3. Em Configuração de acesso JIT à VM, você pode editar as configurações existentes de uma porta já protegida ou pode adicionar uma nova porta personalizada.

  4. Ao terminar de editar as portas, selecione Salvar.

Solicitar acesso a uma VM habilitada para JIT

Você pode solicitar acesso a uma VM habilitada para JIT do portal do Azure (no Defender para Nuvem ou em Máquinas Virtuais do Azure) ou programaticamente.

Cada uma dessas opções é explicada em uma guia separada abaixo.

Solicitar acesso a uma VM habilitada para JIT do Microsoft Defender para Nuvem

Quando uma VM tem um JIT habilitado, você precisa solicitar acesso para se conectar a ele. Você pode solicitar acesso em qualquer uma das maneiras com suporte, independentemente de como você habilitou o JIT.

Requesting JIT access from Defender for Cloud.

  1. Da página Acesso à VM just in time, selecione a guia Configurada.

  2. Marque as VMs que você deseja acessar.

    • O ícone na coluna Detalhes da Conexão indica se o JIT está habilitado no grupo de segurança de rede ou no firewall. Se ele estiver habilitado em ambos, somente o ícone de firewall será exibido.

    • A coluna Detalhes da Conexão fornece as informações necessárias para conectar a VM e suas portas abertas.

  3. Selecione Solicitar acesso. A janela de Solicitação de acesso abre.

  4. Em Solicitar acesso, configure para cada VM as portas a abrir, os endereços IP de origem para os quais a porta fica aberta e o intervalo de tempo durante o qual a porta fica aberta. Só será possível solicitar o acesso para as portas configuradas. Cada porta tem um tempo máximo permitido derivado da configuração JIT que você criou.

  5. Selecione Abrir portas.

Observação

Se um usuário que está solicitando acesso estiver atrás de um proxy, a opção Meu IP pode não funcionar. Pode ser que você precise definir o intervalo completo de endereços IP da organização.

Auditar a atividade de acesso JIT no Defender para Nuvem

Você pode obter informações sobre as atividades de VM usando a pesquisa de logs. Para exibir os logs:

  1. Em Acesso à VM Just-In-Time, selecione a guia Configurado.

  2. Para a VM que você deseja auditar, abra o menu de reticências no final da linha.

  3. Selecione Log de Atividades no menu.

    Select just-in-time JIT activity log.

    O Log de atividades fornece uma exibição filtrada das operações anteriores dessa VM junto com a hora, a data e a assinatura.

  4. Para baixar as informações de log, selecione baixar como CSV.

Próximas etapas

Neste artigo, você aprendeu a configurar e usar o acesso Just-In-Time à VM. Para saber por que o JIT deve ser usado, leia o artigo sobre o conceito, que explica as ameaças que ele impede: