Editar

Compartilhar via

Habilitar acesso Just-In-Time

  • Como fazer

O Defender para servidores no Microsoft Defender para Nuvem fornece um recurso de acesso just-in-time ao computador.

Você pode usar o acesso just-in-time do Microsoft Defender para Nuvem a fim de proteger suas VMs do Azure contra o acesso não autorizado à rede. Muitas vezes, os firewalls contêm regras de permissão que deixam suas VMs vulneráveis a ataques. O JIT permite que você autorize o acesso às suas VMs somente quando ele for necessário, nas portas necessárias e pelo período de tempo necessário.

Neste artigo, você aprenderá a configurar e usar o acesso just-in-time, incluindo como:

  • Habilitar o just-in-time em suas VMs do portal do Azure ou programaticamente
  • Solicitar acesso a uma VM que tenha o acesso just-in-time habilitado a partir do portal do Azure ou programaticamente
  • Auditar a atividade o acesso just-in-time para garantir que suas VMs sejam protegidas adequadamente

Pré-requisitos

  • OPlano 2 do Microsoft Defender para servidores deve ser habilitado na assinatura.

  • VMs com suporte: VMs implantadas por meio do Azure Resource Manager, VMs implantadas com modelos de implantação clássicos, VMs protegidas por Firewalls do Azure na mesma VNET que a VM, VMs protegidas por Firewalls do Azure controladas pelo Gerenciador de Firewall do Azure, instâncias do AWS EC2 (versão preliminar)

  • Para configurar o acesso just-in-time em suas VMs do AWS, você precisará conectar sua conta do AWS ao Microsoft Defender para Nuvem.

  • Para política JIT, o nome da política, acompanhado do nome da VM de destino, não deve exceder 56 caracteres, no total.

  • Você precisa de permissões do Leitor e do SecurityReader ou uma função personalizada podem exibir o status e os parâmetros JIT.

  • Para uma função personalizada, atribua à função as permissões resumidas na tabela. Para criar uma função com privilégios mínimos para usuários que precisam somente solicitar acesso JIT para uma VM, use o script Set-JitLeastPrivilegedRole.

    Ação do usuário Permissões para definir
    Configurar ou editar uma política de JIT para uma VM Atribua essas ações à função:
    • No escopo de uma assinatura (ou grupo de recursos ao usar somente a API ou o PowerShell) associada à VM:
      Microsoft.Security/locations/jitNetworkAccessPolicies/write
    • No escopo de uma assinatura (ou grupo de recursos ao usar apenas a API ou o PowerShell) da VM:
      Microsoft.Compute/virtualMachines/write
    Solicitar acesso JIT a uma VM Atribua essas ações ao usuário:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/networkInterfaces/*/read
    • Microsoft.Network/publicIPAddresses/read
    Ler políticas de JIT Atribua essas ações ao usuário:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/read
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/policies/read
    • Microsoft.Security/pricings/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/*/read

    Observação

    Somente as permissões Microsoft.Securitysão relevantes para a AWS. Para criar uma função com privilégios mínimos para usuários que precisam somente solicitar acesso JIT para uma VM, use o script Set-JitLeastPrivilegedRole.

Trabalhar com acesso à VM JIT usando o Microsoft Defender para Nuvem

Você pode usar o Defender para Nuvem ou habilitar o acesso JIT à VM por meio de programação com suas opções personalizadas ou habilitar o JIT com parâmetros padrão embutidos em código por meio das máquinas virtuais do Azure.

O acesso just-in-time à VM mostra suas VMs agrupadas em:

  • Configurado – VMs configuradas para dar suporte ao acesso JIT à VM e mostra:
    • o número de solicitações de JIT aprovadas nos últimos sete dias
    • Data e hora do último acesso
    • Detalhes da conexão configurada
    • o último usuário
  • Não configurado -VMs sem o JIT habilitado, mas que podem dar suporte a JIT. Recomendamos que você habilite o JIT para essas VMs.
  • Sem suporte – VMs que não dão suporte a JIT porque:
    • Ausência de NSG (grupo de segurança de rede) ou Firewall do Azure – o JIT exige que um NSG seja configurado ou uma configuração de Firewall (ou ambos)
    • VM clássica – O JIT dá suporte a VMs implantadas por meio do Azure Resource Manager.
    • Outros – A solução JIT está desabilitada na política de segurança da assinatura ou do grupo de recursos.

Habilitar o JIT em suas VMs do Microsoft Defender para Nuvem

Captura de tela mostrando a configuração de acesso à VM JIT no Microsoft Defender para Nuvem.

No Defender para Nuvem, você pode habilitar e configurar o acesso à VM JIT.

  1. Abra as proteções de cargas de trabalho e em proteções avançada, selecione acesso à VM just-in-time.

  2. Na guia das máquinas virtuais Não configuradas, marque as VMs a serem protegidas com o JIT e selecione Habilitar JIT nas VMs.

    A página acesso à VM JIT é aberta listando as portas que o Defender para Nuvem recomenda proteger:

    • 22: SSH
    • 3389: RDP
    • 5985: WinRM
    • 5986: WinRM

    Para personalizar o acesso JIT:

    1. Selecione Adicionar.

    2. Selecione uma das portas na lista para editá-la ou inserir outras portas. Em cada porta, você pode definir:

      • Protocolo – O protocolo permitido nesta porta quando uma solicitação é aprovada
      • IPs de origem permitidos – Os intervalos de IP permitidos nesta porta quando uma solicitação é aprovada
      • Tempo máximo de solicitação – O intervalo de tempo máximo durante o qual uma porta específica pode ficar aberta

    3. Selecione OK.

  3. Para salvar a configuração de porta, selecione Salvar.

Editar a configuração do JIT em uma VM habilitada para JIT usando Defender para Nuvem

Você pode alterar a configuração Just-In-Time de uma VM adicionando e configurando uma nova porta a ser aberta para essa VM ou alterando qualquer outro parâmetro relacionado a uma porta já protegida.

Para editar as regras de JIT existentes para uma VM:

  1. Abra as proteções de cargas de trabalho e em proteções avançada, selecione acesso à VM just-in-time.

  2. Na guia das máquinas virtuais Configuradas, clique com o botão direito do mouse em uma VM e selecione Editar.

  3. Na configuração de acesso à VM JIT, é possível editar a lista de portas ou selecionar Adicionar uma porta personalizada nova.

  4. Ao concluir a edição das portas, selecione Salvar.

Solicitar acesso a uma VM habilitada para JIT do Microsoft Defender para Nuvem

Quando uma VM tem um JIT habilitado, você precisa solicitar acesso para se conectar a ele. Você pode solicitar acesso em qualquer uma das maneiras com suporte, independentemente de como você habilitou o JIT.

  1. Da página Acesso à VM just in time, selecione a guia Configurada.

  2. Escolha as VMs que deseja acessar:

    • O ícone na coluna Detalhes da Conexão indica se o JIT está habilitado no grupo de segurança de rede ou no firewall. Se ele estiver habilitado em ambos, somente o ícone de firewall será exibido.

    • A coluna Detalhes da Conexão mostra o usuário e as portas que podem acessar a VM.

  3. Selecione Solicitar acesso. A janela de Solicitação de acesso abre.

  4. Em Solicitar acesso, selecione as portas que você deseja abrir em cada VM, os endereços IP de origem nos quais você deseja que a porta seja aberta e a janela de tempo para abrir as portas.

  5. Selecione Abrir portas.

    Observação

    Se um usuário que está solicitando acesso estiver atrás de um proxy, você pode inserir o intervalo de endereços IP do proxy.

Outras maneiras de trabalhar com o acesso à VM JIT

Máquinas virtuais do Azure

Habilitar o JIT em suas VMs de máquinas virtuais do Azure

Você pode habilitar o JIT em uma VM nas páginas de máquinas virtuais do Azure da portal do Azure.

Dica

Se uma VM já tem o JIT habilitado, a página de configuração dela mostra que o JIT está habilitado. Você pode usar o link para abrir a página de acesso à VM JIT no Defender para Nuvem para exibir e alterar as configurações.

  1. No portal do Azure, pesquise e selecione Máquinas virtuais.

  2. Selecione as máquinas virtuais que deseja proteger com JIT.

  3. No menu à esquerda, selecione Configuração.

  4. Em Acesso Just-In-Time selecione Habilitar política Just-In-Time.

    Por padrão, o acesso just-in-time para a VM usa estas configurações:

    • Máquinas do Windows
      • Porta RDP: 3389
      • Acesso máximo permitido: três horas
      • Endereços IP de origem permitidos: todos
    • Máquinas do Linux
      • Porta SSH: 22
      • Acesso máximo permitido: três horas
      • Endereços IP de origem permitidos: todos

  5. Para editar um desses valores ou adicionar mais portas à sua configuração de JIT, use a página just-in-time do Microsoft Defender para Nuvem:

    1. No menu do Defender para Nuvem, selecione acesso just-in-time à VM.

    2. Na guia Configuradas, clique com o botão direito do mouse na VM à qual deseja adicionar uma porta e selecione Editar.

      Editando uma configuração de acesso JIT à VM no Microsoft Defender para Nuvem.

    3. Em Configuração de acesso JIT à VM, você pode editar as configurações existentes de uma porta já protegida ou pode adicionar uma nova porta personalizada.

    4. Ao terminar de editar as portas, selecione Salvar.

Solicitar acesso a uma VM habilitada para JIT na página conectar da máquina virtual do Azure

Quando uma VM tem um JIT habilitado, você precisa solicitar acesso para se conectar a ele. Você pode solicitar acesso em qualquer uma das maneiras com suporte, independentemente de como você habilitou o JIT.

Captura de tela mostrando a solicitação just-in-time JIT.

Para solicitar acesso de máquinas virtuais do Azure:

  1. No portal do Azure, abra a página de máquinas virtuais.

  2. Selecione a VM à qual você deseja se conectar e abra a página conectar.

    O Azure verifica se o JIT está habilitado nessa VM.

    • Se o JIT não estiver habilitado para a VM, você será solicitado a habilitá-lo.

    • Se o JIT estiver habilitado, selecione Solicitar acesso para passar uma solicitação de acesso com o IP solicitante, o intervalo de tempo e as portas que foram configuradas para essa VM.

Observação

Depois que uma solicitação for aprovada para uma VM protegida pelo Firewall do Azure, o Defender para Nuvem fornecerá ao usuário os detalhes de conexão apropriados (o mapeamento de porta da tabela DNAT) a ser usada para se conectar à VM.

PowerShell

Ativar JIT nas suas VMs usando PowerShell

Para habilitar o acesso just-in-time à VM do PowerShell, use o cmdlet oficial do PowerShell do Microsoft Defender para Nuvem Set-AzJitNetworkAccessPolicy.

Exemplo – habilitar o acesso just-in-time à VM em uma VM específica com as seguintes regras:

  • Fechar as portas 22 e 3389.
  • Definir uma janela de tempo máximo de 3 horas para cada, de modo que possam ser abertas por solicitação aprovada.
  • Permitir que o usuário que está solicitando acesso controle os endereços IP de origem
  • Permitir que o usuário que está solicitando acesso estabelecer uma sessão com êxito mediante uma solicitação de acesso Just-In-Time aprovada.

Os comandos do PowerShell a seguir criam essa configuração de JIT:

  1. Atribuir uma variável que contenha a regras de acesso Just-In-Time à VM para uma VM:

    $JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

  2. Inserir a regra de acesso Just-In-Time à VM em uma matriz:

    $JitPolicyArr=@($JitPolicy)

  3. Configurar a regra de acesso Just-In-Time à VM na VM selecionada:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr

    Use o parâmetro-Name para especificar uma VM. Por exemplo, para estabelecer a configuração de JIT para duas VMs diferentes, VM1 e VM2, use: Set-AzJitNetworkAccessPolicy -Name VM1 e Set-AzJitNetworkAccessPolicy -Name VM2.

Solicitar acesso a uma VM habilitada para JIT usando PowerShell

No exemplo a seguir, é possível ver uma solicitação de acesso Just-In-Time à VM para uma VM específica da porta 22, para um endereço IP específico e por um período de tempo específico:

Execute os seguintes comandos no PowerShell:

  1. Configurar as propriedades de acesso de solicitação da VM:

    $JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
      number=22;
      endTimeUtc="2020-07-15T17:00:00.3658798Z";
      allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

  2. Insira os parâmetros de solicitação de acesso da VM em uma matriz:

    $JitPolicyArr=@($JitPolicyVm1)

  3. Enviar o acesso da solicitação (use a ID do recurso que você recebeu na etapa 1)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Saiba mais na documentação do cmdlet do PowerShell.

API REST

Habilitar o JIT em suas VMs usando a API REST

O recurso de acesso à VM Just-In-Time pode ser usado por meio da API do Microsoft Defender para Nuvem. Use esta API para obter informações sobre VMs configuradas, adicionar novos, solicitar o acesso a uma VM e mais.

Saiba mais em políticas de acesso à rede JIT.

Solicitar acesso a VM habilitada para JIT usando a API REST

O recurso de acesso à VM Just-In-Time pode ser usado por meio da API do Microsoft Defender para Nuvem. Use esta API para obter informações sobre VMs configuradas, adicionar novos, solicitar o acesso a uma VM e mais.

Saiba mais em políticas de acesso à rede JIT.

Auditar a atividade de acesso JIT no Defender para Nuvem

Você pode obter informações sobre as atividades de VM usando a pesquisa de logs. Para exibir os logs:

  1. Em Acesso à VM Just-In-Time, selecione a guia Configurado.

  2. Para a VM que você deseja auditar, abra o menu de reticências no final da linha.

  3. Selecione Log de Atividades no menu.

    Selecione o log de atividades do JIT (Just-In-Time).

    O Log de atividades fornece uma exibição filtrada das operações anteriores dessa VM junto com a hora, a data e a assinatura.

  4. Para baixar as informações de log, selecione baixar como CSV.

Próxima etapa

Entenda o gerenciamento de acesso à VM just-in-time