Compartilhar via

Habilitar acesso na hora certa

O Defender para servidores no Microsoft Defender para Nuvem fornece um recurso de acesso just-in-time ao computador.

Você pode usar o acesso just-in-time do Microsoft Defender para Nuvem para proteger suas VMs do Azure contra acesso de rede não autorizado. Muitas vezes os firewalls contêm regras de permissão que deixam suas VMs vulneráveis a ataques. O JIT permite que você permita o acesso às suas VMs somente quando o acesso for necessário, nas portas necessárias e pelo período necessário.

Neste artigo, você aprenderá a configurar e usar o acesso just-in-time, incluindo como:

  • Habilitar just-in-time em VMs pelo portal do Azure ou programaticamente
  • Solicitar acesso a uma VM que tenha acesso just-in-time habilitado no portal do Azure ou de forma programática
  • Auditar a atividade o acesso just-in-time para garantir que suas VMs sejam protegidas adequadamente

Pré-requisitos

  • O Plano 2 do Microsoft Defender para Servidores deve estar habilitado na assinatura.

  • VMs com suporte: VMs implantadas por meio do Azure Resource Manager, VMs protegidas por Firewalls do Azure na mesma VNET que a VM, instâncias do AWS EC2 (versão prévia).

  • VMs sem suporte: VMs implantadas com modelos de implantação clássicos, VMs protegidas por Firewalls do Azure controladas pelo Gerenciador de Firewall do Azure.

  • Para configurar o acesso just-in-time em suas VMs do AWS, você precisa conectar sua conta do AWS ao Microsoft Defender para Nuvem.

  • Para criar uma política JIT, o nome da política, juntamente com o nome da VM de destino, não deve exceder um total de 56 caracteres.

  • Você precisa de permissões do Leitor e do SecurityReader ou uma função personalizada podem exibir o status e os parâmetros JIT.

  • Para uma função personalizada, atribua as permissões resumidas na tabela. Para criar uma função menos privilegiada para usuários que só precisam solicitar acesso JIT a uma VM, use o scriptSet-JitLeastPrivilegedRole.

Ação do usuário Permissões para definir
Configurar ou editar uma política JIT para uma VM Atribua estas ações à função:
  • No escopo de uma assinatura (ou grupo de recursos ao usar somente a API ou o PowerShell) associada à VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • No escopo de uma assinatura (ou grupo de recursos ao usar apenas a API ou o PowerShell) da VM:
    Microsoft.Compute/virtualMachines/write
Solicitar acesso JIT a uma VM Atribua estas ações ao usuário:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/networkInterfaces/*/read
  • Microsoft.Network/publicIPAddresses/read
Ler políticas JIT Atribua estas ações ao usuário:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Security/pricings/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

Observação

Somente as Microsoft.Security permissões são relevantes para a AWS. Para criar uma função com privilégios mínimos para usuários que só precisam solicitar acesso JIT a uma VM, use o script Set-JitLeastPrivilegedRole.

Trabalhar com o acesso à VM JIT usando o Microsoft Defender para Nuvem

Você pode usar o Defender para Nuvem ou habilitar programaticamente o acesso à VM JIT com suas próprias opções personalizadas ou habilitar o JIT com parâmetros padrão codificados em código de máquinas virtuais do Azure.

O acesso à VM just-in-time mostra suas VMs agrupadas em:

  • Configurado – VMs configuradas para dar suporte ao acesso JIT à VM e mostra:
    • o número de solicitações JIT aprovadas nos últimos sete dias
    • a data e a hora do último acesso
    • os detalhes da conexão configurados
    • o último usuário
  • Não configurado – VMs sem JIT habilitado, mas que podem dar suporte ao JIT. Recomendamos que você habilite o JIT para essas VMs.
  • Sem suporte – VMs que não dão suporte ao JIT porque:
    • NSG (grupo de segurança de rede) ausente ou Firewall do Azure – JIT requer que um NSG seja configurado ou uma configuração de Firewall (ou ambos)
    • A VM clássica – JIT dá suporte a VMs implantadas por meio do Azure Resource Manager.
    • Outro – a solução JIT está desabilitada na política de segurança da assinatura ou do grupo de recursos.

Habilitar o JIT em suas VMs do Microsoft Defender para Nuvem

No Defender para Nuvem, você pode habilitar e configurar o acesso à VM JIT.

  1. Abra proteções de carga de trabalho e, nas proteções avançadas, selecione Just-in-time VM access.

    Captura de tela mostrando como configurar o acesso à VM just-in-time no Microsoft Defender para Nuvem.

  2. Na guia Máquinas Virtuais Não Configuradas , marque as VMs para proteger com JIT e selecione Habilitar JIT em VMs.

    A página de acesso à VM JIT abre listando as portas que o Defender para Nuvem recomenda proteger:

    • 22 – SSH
    • 3389 – RDP
    • 5985 – WinRM
    • 5986 – WinRM

    Para personalizar o acesso JIT:

    1. Selecione Adicionar.

    2. Selecione uma das portas da lista para editá-la ou inserir outras portas. Para cada porta, você pode definir:

      • Protocolo
      • IPs de origem permitidos
      • Tempo máximo de solicitação

    3. Selecione OK.

  3. Para salvar a configuração da porta, selecione Salvar.

Editar a configuração JIT em uma VM habilitada para JIT usando o Defender para Nuvem

Você pode modificar a configuração just-in-time de uma VM adicionando e configurando uma nova porta para proteger para essa VM ou alterando qualquer outra configuração relacionada a uma porta já protegida.

Para editar as regras JIT existentes para uma VM:

  1. Abra proteções de carga de trabalho e, nas proteções avançadas, selecione Just-in-time VM access.

  2. Na guia Máquinas Virtuais Configuradas , clique com o botão direito do mouse em uma VM e selecione Editar.

  3. Na configuração de acesso à VM JIT, você pode editar a lista de portas ou selecionar Adicionar uma nova porta personalizada.

  4. Quando terminar de editar as portas, selecione Salvar.

Solicitar acesso a uma VM habilitada para JIT do Microsoft Defender para Nuvem

Quando uma VM tem o JIT habilitado, você precisa solicitar acesso para se conectar a ela. Você pode solicitar acesso em qualquer uma das maneiras com suporte, independentemente de como você habilitou o JIT.

  1. Na página de acesso à VM just-in-time , selecione a guia Configurado .

  2. Selecione as VMs que você deseja acessar.

    • O ícone na coluna Detalhes da Conexão indica se o JIT está habilitado no grupo de segurança de rede ou no firewall. Se estiver habilitado em ambos, somente o ícone de firewall será exibido.

    • A coluna Detalhes da Conexão mostra o usuário e as portas que podem acessar a VM.

  3. Selecione Solicitar acesso. A janela Solicitar acesso é aberta.

  4. Em Solicitar acesso, selecione as portas que você deseja abrir para cada VM, os endereços IP de origem em que você deseja abrir a porta e a janela de tempo para abrir as portas.

  5. Selecione Abrir portas.

    Observação

    Se um usuário que está solicitando acesso estiver por trás de um proxy, você poderá inserir o intervalo de endereços IP do proxy.

Outras maneiras de trabalhar com o acesso à VM JIT

Máquinas virtuais do Azure

Habilitar o JIT em suas VMs de máquinas virtuais do Azure

Você pode habilitar o JIT em uma VM nas páginas de máquinas virtuais do Azure do portal do Azure.

Dica

Se uma VM já tiver JIT habilitado, a página de configuração da VM mostrará que o JIT está habilitado. Você pode usar o link para abrir a página de acesso à VM JIT no Defender para Nuvem para exibir e alterar as configurações.

  1. No portal do Azure, pesquise e selecione máquinas virtuais.

  2. Selecione a máquina virtual que você deseja proteger com JIT.

  3. No menu, selecione Configuração.

  4. Em Acesso just-in-time, selecione Habilitar just-in-time.

    Por padrão, o acesso just-in-time para a VM usa estas configurações:

    • Computadores Windows:
      • Porta RDP: 3389
      • Acesso máximo permitido: 3 horas
      • Endereços IP de origem permitidos: todos
    • Computadores Linux:
      • Porta SSH: 22
      • Acesso máximo permitido: 3 horas
      • Endereços IP de origem permitidos: todos

  5. Para editar qualquer um desses valores ou adicionar mais portas à sua configuração JIT, use a página just-in-time do Microsoft Defender para Nuvem:

    1. No menu do Defender para Nuvem, selecione acesso à VM just-in-time.

    2. Na guia Configurado , clique com o botão direito do mouse na VM à qual você deseja adicionar uma porta e selecione Editar.

      Captura de tela da edição das configurações de acesso à VM just-in-time, mostrando as portas permitidas e as opções de duração de acesso.

    3. Na configuração de acesso à VM JIT, você pode editar as configurações existentes de uma porta já protegida ou adicionar uma nova porta personalizada.

    4. Quando terminar de editar as portas, selecione Salvar.

Solicitar acesso a uma VM habilitada para JIT na página de conexão da máquina virtual do Azure

Quando uma VM tem um JIT habilitado, você precisa solicitar acesso para se conectar a ela. Você pode solicitar acesso em qualquer uma das maneiras com suporte, independentemente de como você habilitou o JIT.

Captura de tela de uma solicitação de acesso de VM just-in-time mostrando as portas selecionadas e a duração do acesso.

Para solicitar acesso de máquinas virtuais do Azure:

  1. No portal do Azure, abra a página de máquinas virtuais.

  2. Selecione a VM à qual você deseja se conectar e abra a página conectar.

    O Azure verifica se o JIT está habilitado nessa VM.

    • Se o JIT não estiver habilitado para a VM, você será solicitado a habilitá-lo.
    • Se o JIT estiver habilitado, selecione Solicitar acesso para passar uma solicitação de acesso com o IP solicitante, o intervalo de tempo e as portas que foram configuradas para essa VM.

Observação

Depois que uma solicitação é aprovada para uma VM protegida pelo Firewall do Azure, o Defender para Nuvem fornece ao usuário os detalhes de conexão adequados (o mapeamento de porta da tabela DNAT) a ser usado para se conectar à VM.

PowerShell

Habilitar o JIT em suas VMs usando o PowerShell

Para habilitar o acesso just-in-time à VM do PowerShell, use o cmdlet oficial do PowerShell do Microsoft Defender para Nuvem Set-AzJitNetworkAccessPolicy.

Exemplo – Habilitar o acesso à VM just-in-time em uma VM específica com as seguintes regras:

  • Fechar as portas 22 e 3389
  • Defina uma janela de tempo máxima de 3 horas para cada uma para que elas possam ser abertas por solicitação aprovada
  • Permitir que o usuário que está solicitando acesso controle os endereços IP de origem
  • Permitir que o usuário que está solicitando acesso estabeleça uma sessão bem-sucedida após uma solicitação de acesso just-in-time aprovada

Os seguintes comandos do PowerShell criam esta configuração JIT:

  1. Atribua uma variável que contém as regras de acesso de VM just-in-time para uma VM:

    $JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

  2. Inserir a regra de acesso Just-In-Time à VM em uma matriz:

    $JitPolicyArr=@($JitPolicy)

  3. Configure as regras de acesso à VM just-in-time na VM selecionada:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr

    Use o parâmetro -Name para especificar uma VM. Por exemplo, para estabelecer a configuração JIT para duas VMs diferentes, VM1 e VM2, use: Set-AzJitNetworkAccessPolicy -Name VM1 e Set-AzJitNetworkAccessPolicy -Name VM2.

Solicitar acesso a uma VM habilitada para JIT usando o PowerShell

No exemplo a seguir, você pode ver uma solicitação de acesso de VM just-in-time a uma VM específica para a porta 22, para um endereço IP específico e por um período específico:

Execute os seguintes comandos no PowerShell:

  1. Configurar as propriedades de acesso de solicitação da VM:

    $JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        endTimeUtc="2020-07-15T17:00:00.3658798Z";
        allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

  2. Insira os parâmetros de solicitação de acesso à VM em uma matriz:

    $JitPolicyArr=@($JitPolicyVm1)

  3. Enviar a solicitação de acesso (use o ID do recurso da etapa 1)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Saiba mais na documentação do cmdlet do PowerShell.

API REST

Habilitar o JIT em suas VMs usando a API REST

O recurso de acesso à VM just-in-time pode ser usado por meio da API do Microsoft Defender para Nuvem. Use essa API para obter informações sobre VMs configuradas, adicionar novas, solicitar acesso a uma VM e muito mais.

Saiba mais em políticas de acesso à rede JIT.

Solicitar acesso a uma VM habilitada para JIT usando a API REST

O recurso de acesso à VM just-in-time pode ser usado por meio da API do Microsoft Defender para Nuvem. Use essa API para obter informações sobre VMs configuradas, adicionar novas, solicitar acesso a uma VM e muito mais.

Saiba mais em políticas de acesso à rede JIT.

Auditar a atividade de acesso JIT no Defender para Nuvem

Você pode obter informações sobre as atividades da VM usando a pesquisa de log. Para exibir os logs:

  1. Em Acesso à VM Just-In-Time, selecione a guia Configurado.

  2. Para a VM que você deseja auditar, abra o menu de reticências no final da linha.

  3. Selecione Log de Atividades no menu.

    Captura de tela da seleção do log de atividades de acesso à VM just-in-time no Defender para Nuvem.

    O log de atividades fornece uma exibição filtrada de operações anteriores para essa VM, juntamente com hora, data e assinatura.

  4. Para baixar as informações de log, selecione Baixar como CSV.

Próxima etapa

  • Last updated on