Proteja as suas portas de gestão com acesso just-in-timeSecure your management ports with just-in-time access

Bloqueie o tráfego de entrada para as suas Máquinas Virtuais Azure com a função de acesso à máquina virtual (JIT) do Azure Security Center.Lock down inbound traffic to your Azure Virtual Machines with Azure Security Center's just-in-time (JIT) virtual machine (VM) access feature. Isto reduz a exposição a ataques, proporcionando fácil acesso quando precisa de se ligar a um VM.This reduces exposure to attacks while providing easy access when you need to connect to a VM.

Para uma explicação completa sobre como funciona o JIT e a lógica subjacente, consulte Just-in-time explicado.For a full explanation about how JIT works and the underlying logic, see Just-in-time explained.

Esta página ensina-lhe como incluir o JIT no seu programa de segurança.This page teaches you how to include JIT in your security program. Vai aprender a:You'll learn how to:

  • Ativar JIT nos seus VMs - Pode ativar o JIT com as suas próprias opções personalizadas para um ou mais VMs utilizando o Security Center, PowerShell ou a API REST.Enable JIT on your VMs - You can enable JIT with your own custom options for one or more VMs using Security Center, PowerShell, or the REST API. Em alternativa, pode ativar o JIT com parâmetros padrão e codificados, a partir de máquinas virtuais Azure.Alternatively, you can enable JIT with default, hard-coded parameters, from Azure virtual machines. Quando ativado, o JIT bloqueia o tráfego de entrada para os seus VMs Azure, criando uma regra no seu grupo de segurança de rede.When enabled, JIT locks down inbound traffic to your Azure VMs by creating a rule in your network security group.
  • Solicitar acesso a um VM que tenha JIT ativado - O objetivo do JIT é garantir que, mesmo que o seu tráfego de entrada esteja bloqueado, o Centro de Segurança ainda proporciona fácil acesso à ligação aos VM quando necessário.Request access to a VM that has JIT enabled - The goal of JIT is to ensure that even though your inbound traffic is locked down, Security Center still provides easy access to connect to VMs when needed. Pode solicitar acesso a um VM ativado pelo JIT a partir do Security Center, máquinas virtuais Azure, PowerShell ou a API REST.You can request access to a JIT-enabled VM from Security Center, Azure virtual machines, PowerShell, or the REST API.
  • Auditar a atividade - Para garantir que os seus VMs são protegidos adequadamente, reveja os acessos aos seus VMs ativados pelo JIT como parte das suas verificações de segurança regulares.Audit the activity - To ensure your VMs are secured appropriately, review the accesses to your JIT-enabled VMs as part of your regular security checks.

DisponibilidadeAvailability

AspetoAspect DetalhesDetails
Estado de libertação:Release state: Disponibilidade Geral (GA)General Availability (GA)
Preços:Pricing: Requer Azure Defender para servidoresRequires Azure Defender for servers
VMs suportados:Supported VMs: Sim VMs implantados através do Azure Resource Manager.Yes VMs deployed through Azure Resource Manager.
Não há VMs implantados com modelos clássicos de implantação.No VMs deployed with classic deployment models. Saiba mais sobre estes modelos de implantação.Learn more about these deployment models.
Sem VMs protegidos por Firewalls Azure controlados pelo Azure Firewall ManagerNo VMs protected by Azure Firewalls controlled by Azure Firewall Manager
Funções e permissões necessárias:Required roles and permissions: As funções reader e SecurityReader podem visualizar o estado e os parâmetros do JIT.Reader and SecurityReader roles can both view the JIT status and parameters.
Para criar funções personalizadas que possam funcionar com o JIT, veja quais as permissões necessárias para configurar e utilizar o JIT?To create custom roles that can work with JIT, see What permissions are needed to configure and use JIT?.
Para criar um papel menos privilegiado para os utilizadores que precisam solicitar o acesso do JIT a um VM, e não realizar outras operações JIT, use o script Set-JitLeastPrivilegedRole a partir das páginas comunitárias do Centro de Segurança GitHub.To create a least-privileged role for users that need to request JIT access to a VM, and perform no other JIT operations, use the Set-JitLeastPrivilegedRole script from the Security Center GitHub community pages.
Nuvens:Clouds: Yes Nuvens comerciaisCommercial clouds
Yes Nacional/Soberano (Gov dos EUA, China Gov, Outro Gov)National/Sovereign (US Gov, China Gov, Other Gov)

Permitir o acesso ao JIT VM Enable JIT VM access

Pode ativar o acesso ao JIT VM com as suas próprias opções personalizadas para um ou mais VMs utilizando o Security Center ou programaticamente.You can enable JIT VM access with your own custom options for one or more VMs using Security Center or programmatically.

Em alternativa, pode ativar o JIT com parâmetros padrão e codificados, a partir de máquinas Virtuais Azure.Alternatively, you can enable JIT with default, hard-coded parameters, from Azure Virtual machines.

Cada uma destas opções é explicada num separado abaixo.Each of these options is explained in a separate tab below.

Ativar JIT nos seus VMs do Azure Security Center Enable JIT on your VMs from Azure Security Center

Configurar o acesso jit VM no Centro de Segurança Azure

A partir do Centro de Segurança, pode ativar e configurar o acesso JIT VM.From Security Center, you can enable and configure the JIT VM access.

  1. Abra o painel de instrumentos Azure Defender e a partir da área de proteção avançada, selecione acesso VM just-in-time.Open the Azure Defender dashboard and from the advanced protection area, select Just-in-time VM access.

    A página de acesso VM just-in-time abre com os seus VMs agrupados nos seguintes separadores:The Just-in-time VM access page opens with your VMs grouped into the following tabs:

    • Configurado - VMs que já foram configurados para suportar o acesso em VM just-in-time.Configured - VMs that have been already been configured to support just-in-time VM access. Para cada VM, o separador configurado mostra:For each VM, the configured tab shows:
      • o número de pedidos aprovados do JIT nos últimos sete diasthe number of approved JIT requests in the last seven days
      • a última data e hora de acessothe last access date and time
      • os detalhes de ligação configuradosthe connection details configured
      • o último utilizadorthe last user
    • Não configurado - VMs sem JIT habilitado, mas que pode suportar JIT.Not configured - VMs without JIT enabled, but that can support JIT. Recomendamos que ative o JIT para estes VMs.We recommend that you enable JIT for these VMs.
    • Sem suporte - VMs sem JIT ativado e que não suportam a funcionalidade.Unsupported - VMs without JIT enabled and which don't support the feature. O seu VM pode estar neste separador pelas seguintes razões:Your VM might be in this tab for the following reasons:
      • Grupo de segurança da rede em falta (NSG) - JIT exige que um NSG seja configuradoMissing network security group (NSG) - JIT requires an NSG to be configured
      • Classic VM - JIT suporta VMs que são implantados através do Azure Resource Manager, e não 'implantação clássica'.Classic VM - JIT supports VMs that are deployed through Azure Resource Manager, not 'classic deployment'. Saiba mais sobre os modelos clássicos vs Azure Resource Manager.Learn more about classic vs Azure Resource Manager deployment models.
      • Outros - O seu VM pode estar neste separador se a solução JIT for desativada na política de segurança da subscrição ou do grupo de recursos.Other - Your VM might be in this tab if the JIT solution is disabled in the security policy of the subscription or the resource group.
  2. A partir do separador Não configurado, marque os VMs para proteger com JIT e selecione Ative JIT em VMs.From the Not configured tab, mark the VMs to protect with JIT and select Enable JIT on VMs.

    A página de acesso JIT VM abre a listagem das portas que o Centro de Segurança recomenda proteger:The JIT VM access page opens listing the ports that Security Center recommends protecting:

    • 22 - SSH22 - SSH
    • 3389 - PDR3389 - RDP
    • 5985 - WinrM5985 - WinRM
    • 5986 - WinrM5986 - WinRM

    Para aceitar as definições predefinidos, selecione Guardar.To accept the default settings, select Save.

  3. Para personalizar as opções JIT:To customize the JIT options:

    • Adicione portas personalizadas com o botão Adicionar.Add custom ports with the Add button.
    • Modifique uma das portas predefinitivas, selecionando-a da lista.Modify one of the default ports, by selecting it from the list.

    Para cada porta (personalizada e padrão) o painel de configuração da porta Add oferece as seguintes opções:For each port (custom and default) the Add port configuration pane offers the following options:

    • Protocolo- O protocolo que é permitido nesta porta quando um pedido é aprovadoProtocol- The protocol that is allowed on this port when a request is approved
    • IPs de origem permitida- As gamas IP que são permitidas nesta porta quando um pedido é aprovadoAllowed source IPs- The IP ranges that are allowed on this port when a request is approved
    • Tempo máximo de pedido- O período máximo durante o qual uma porta específica pode ser abertaMaximum request time- The maximum time window during which a specific port can be opened
    1. Desaça a segurança do porto às suas necessidades.Set the port security to your needs.

    2. Selecione OK.Select OK.

  4. Selecione Guardar.Select Save.

Editar a configuração JIT num VM ativado pelo JIT utilizando o Security Center Edit the JIT configuration on a JIT-enabled VM using Security Center

Pode modificar a configuração just-in-time de um VM adicionando e configurando uma nova porta para proteger para esse VM, ou alterando qualquer outra definição relacionada com uma porta já protegida.You can modify a VM's just-in-time configuration by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

Para editar as regras jit existentes para um VM:To edit the existing JIT rules for a VM:

  1. Abra o painel de instrumentos Azure Defender e a partir da área de proteção avançada, selecione comandos de aplicação adaptáveis.Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

  2. A partir do separador Configurado, clique à direita no VM ao qual pretende adicionar uma porta e selecione editar.From the Configured tab, right-click on the VM to which you want to add a port, and select edit.

    Edição de uma configuração de acesso JIT VM no Centro de Segurança Azure

  3. Na configuração de acesso JIT VM, pode editar as definições existentes de uma porta já protegida ou adicionar uma nova porta personalizada.Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port.

  4. Quando terminar de editar as portas, selecione Save.When you've finished editing the ports, select Save.

Pedir acesso a uma VM com o JIT ativadoRequest access to a JIT-enabled VM

Pode solicitar acesso a um VM ativado pelo JIT a partir do portal Azure (em Centro de Segurança ou máquinas Virtuais Azure) ou programáticamente.You can request access to a JIT-enabled VM from the Azure portal (in Security Center or Azure Virtual machines) or programmatically.

Cada uma destas opções é explicada num separado abaixo.Each of these options is explained in a separate tab below.

Solicitar acesso a um VM ativado pelo JIT do Centro de Segurança AzureRequest access to a JIT-enabled VM from Azure Security Center

Quando um VM tem um JIT ativado, tem de solicitar acesso para se ligar ao mesmo.When a VM has a JIT enabled, you have to request access to connect to it. Pode solicitar o acesso de qualquer uma das formas apoiadas, independentemente da forma como ativou o JIT.You can request access in any of the supported ways, regardless of how you enabled JIT.

Solicitando acesso JIT do Centro de Segurança

  1. A partir da página de acesso VM just-in-time, selecione o separador Configurado.From the Just-in-time VM access page, select the Configured tab.

  2. Marque os VMs a que quer aceder.Mark the VMs you want to access.

    • O ícone na coluna Detalhes de Ligação indica se o JIT está ativado no grupo de segurança da rede ou na firewall.The icon in the Connection Details column indicates whether JIT is enabled on the network security group or firewall. Se estiver ativado em ambos, apenas aparece o ícone da firewall.If it's enabled on both, only the firewall icon appears.

    • A coluna Detalhes de Ligação fornece as informações necessárias para ligar o VM e as suas portas abertas.The Connection Details column provides the information required to connect the VM, and its open ports.

  3. Selecione O acesso ao Pedido.Select Request access. A janela de acesso do Pedido abre.The Request access window opens.

  4. No Acesso Ao Pedido, para cada VM, configurar as portas que pretende abrir e os endereços IP de origem onde a porta é aberta e o tempo para o qual a porta estará aberta.Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. Só será possível solicitar o acesso às portas configuradas.It will only be possible to request access to the configured ports. Cada porta tem um tempo máximo permitido derivado da configuração JIT que criou.Each port has a maximum allowed time derived from the JIT configuration you've created.

  5. Selecione portas abertas.Select Open ports.

Nota

Se um utilizador que está a solicitar acesso estiver por detrás de um representante, a opção My IP pode não funcionar.If a user who is requesting access is behind a proxy, the option My IP may not work. Poderá ser necessário definir o alcance completo do endereço IP da organização.You may need to define the full IP address range of the organization.

Atividade de acesso JIT de auditoria no Centro de SegurançaAudit JIT access activity in Security Center

Você pode obter insights sobre as atividades de VM usando a pesquisa de registo.You can gain insights into VM activities using log search. Para ver os registos:To view the logs:

  1. A partir do acesso VM just-in-time, selecione o separador Configurado.From Just-in-time VM access, select the Configured tab.

  2. Para o VM que pretende auditar, abra o menu de elipses no final da linha.For the VM that you want to audit, open the ellipsis menu at the end of the row.

  3. Selecione Registo de Atividades no menu.Select Activity Log from the menu.

    Selecione login de atividades JIT just-in-time

    O registo de atividade fornece uma visão filtrada das operações anteriores para esse VM juntamente com a hora, data e subscrição.The activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

  4. Para descarregar as informações de registo, selecione Baixar como CSV.To download the log information, select Download as CSV.

Próximos passosNext steps

Neste artigo, aprendeu a configurar e utilizar o acesso vm mesmo a tempo.In this article, you learned how to set up and use just-in-time VM access. Para saber por que o JIT deve ser usado, leia o artigo do conceito explicando as ameaças contra as quais defende:To learn why JIT should be used, read the concept article explaining the threats it's defending against: