Azure Virtual Machines
Habilitación de JIT en las máquinas virtuales desde máquinas virtuales de Azure
Puede habilitar JIT en una máquina virtual desde las páginas de máquinas virtuales de Azure Portal.
Sugerencia
Si una máquina virtual ya tiene JIT habilitado, la página de configuración de la máquina virtual muestra que JIT está habilitado. Puede usar el vínculo para abrir la página de acceso a la máquina virtual JIT en Defender for Cloud para ver y cambiar la configuración.
En Azure Portal, busque y seleccione Máquinas virtuales.
Seleccione la máquina virtual que desee proteger con JIT.
En el menú, seleccione Configuración.
En Acceso Just-In-Time, seleccione Habilitar Just-In-Time.
De forma predeterminada, el acceso Just-In-Time para la máquina virtual usa esta configuración:
- Máquinas de Windows
- Puerto RDP: 3389
- Acceso máximo permitido: tres horas
- Direcciones IP de origen permitidas: cualquiera
- Equipos con Linux
- Puerto SSH: 22
- Acceso máximo permitido: tres horas
- Direcciones IP de origen permitidas: cualquiera
Para editar cualquiera de estos valores o agregar más puertos a la configuración JIT, use la página Just-In-Time de Microsoft Defender for Cloud:
En el menú de Defender for Cloud, seleccione Acceso a máquina virtual Just-In-Time.
En la pestaña Configurado, haga clic con el botón derecho en la máquina virtual a la que desea agregar un puerto y seleccione Editar.
En Configuración de acceso a máquina virtual del tipo JIT , puede modificar la configuración existente de un puerto protegido, o bien agregar un puerto personalizado.
Cuando haya terminado de editar los puertos, seleccione Guardar.
Solicitud de acceso a una máquina virtual habilitada para JIT desde la página de conexión de la máquina virtual de Azure
Cuando una máquina virtual tiene JIT habilitado, tiene que solicitar acceso para conectarse a ella. Puede solicitar acceso de cualquiera de las maneras admitidas, independientemente de cómo haya habilitado JIT.
Para solicitar acceso desde máquinas virtuales de Azure:
En Azure Portal, abra las páginas de máquinas virtuales.
Seleccione la máquina virtual a la que desea conectarse y abra la página Conectar.
Azure comprueba si JIT está habilitado en esa máquina virtual.
Si JIT no está habilitado para la máquina virtual, se le pedirá que lo habilite.
Si JIT está habilitado, seleccione Solicitar acceso para pasar una solicitud de acceso con la dirección IP de solicitud, el intervalo de tiempo y los puertos que se configuraron para esa máquina virtual.
Nota
Una vez aprobada una solicitud para una máquina virtual protegida por Azure Firewall, Defender for Cloud proporciona al usuario los detalles de conexión adecuados (la asignación de puertos de la tabla DNAT) que se usarán para conectarse a la máquina virtual.
PowerShell
Habilitación de JIT en las máquinas virtuales mediante PowerShell
Para habilitar el acceso a máquinas virtuales Just-In-Time desde PowerShell, use el cmdlet oficial deMicrosoft Defender for Cloud PowerShell Set-AzJitNetworkAccessPolicy
.
Ejemplo: habilite el acceso a máquinas virtuales Just-in-Time en una máquina virtual específica con las siguientes reglas:
- Cierre los puertos 22 y 3389.
- Establezca una ventana de tiempo máximo de 3 horas para cada uno, para que así puedan abrirse según la solicitud aprobada.
- Deje que el usuario que solicita el acceso controle las direcciones IP de origen.
- Deje que el usuario que solicita el acceso establezca una sesión correcta tras una solicitud de acceso del tipo Just-In-Time aprobada.
Los siguientes comandos de PowerShell crean esta configuración JIT:
Asigne una variable que contenga las reglas de acceso a máquinas virtuales Just-in-Time para una máquina virtual:
$JitPolicy = (@{
id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
ports=(@{
number=22;
protocol="*";
allowedSourceAddressPrefix=@("*");
maxRequestAccessDuration="PT3H"},
@{
number=3389;
protocol="*";
allowedSourceAddressPrefix=@("*");
maxRequestAccessDuration="PT3H"})})
Inserte las reglas de acceso a máquinas virtuales Just-in-Time de la máquina virtual en una matriz:
$JitPolicyArr=@($JitPolicy)
Configure las reglas de acceso a máquinas virtuales Just-in-Time en la máquina virtual seleccionada:
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
Use el parámetro -Name para especificar una máquina virtual. Por ejemplo, para establecer la configuración JIT para dos máquinas virtuales diferentes, VM1 y VM2, use Set-AzJitNetworkAccessPolicy -Name VM1
y Set-AzJitNetworkAccessPolicy -Name VM2
.
Solicitud de acceso a una máquina virtual habilitada para JIT mediante PowerShell
En el ejemplo siguiente, puede ver una solicitud de acceso a máquina virtual del tipo Just-In-Time para una máquina virtual específica en el puerto 22, para una dirección IP específica y durante un período concreto:
Ejecute los siguientes comandos en PowerShell:
Configure las propiedades de acceso de solicitud de la máquina virtual:
$JitPolicyVm1 = (@{
id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
ports=(@{
number=22;
endTimeUtc="2020-07-15T17:00:00.3658798Z";
allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
Inserte los parámetros de solicitud de acceso a la máquina virtual en una matriz:
$JitPolicyArr=@($JitPolicyVm1)
Envíe el acceso de solicitud (use el id. de recurso del paso 1).
Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
Para más información, consulte la documentación del cmdlet de PowerShell.
API DE REST
Habilitación de JIT en las máquinas virtuales mediante API REST
La característica de acceso a máquinas virtuales Just-In-Time se puede usar a través de la API de Microsoft Defender for Cloud. Use esta API para obtener más información acerca de las máquinas virtuales configuradas, cómo agregar otras nuevas o solicitar acceso a una máquina virtual, entre otras cosas.
Obtenga más información en Directivas de acceso a redes JIT.
Solicitud de acceso a una máquina virtual habilitada para JIT mediante API REST
La característica de acceso a máquinas virtuales Just-In-Time se puede usar a través de la API de Microsoft Defender for Cloud. Use esta API para obtener más información acerca de las máquinas virtuales configuradas, cómo agregar otras nuevas o solicitar acceso a una máquina virtual, entre otras cosas.
Obtenga más información en Directivas de acceso a redes JIT.
Auditar la actividad de acceso JIT en Defender for Cloud
Puede usar la búsqueda de registros para obtener información sobre las actividades de las máquinas virtuales. Para ver los registros: