Descripción del acceso a la máquina virtual Just-in-Time (JIT)

En esta página se explican los principios que hay detrás de la característica de acceso a máquinas virtuales Just-In-Time (JIT) de Microsoft Defender para la nube y la lógica detrás de la recomendación.

Para obtener información sobre cómo aplicar JIT a las máquinas virtuales mediante Azure Portal (ya sea Defender for Cloud o Azure Virtual Machines) o mediante programación, consulte Procedimientos para proteger los puertos de administración con JIT.

Riesgos de abrir los puertos de administración abiertos en una máquina virtual

Los actores de amenazas buscan activamente máquinas accesibles con puertos de administración abiertos, como RDP o SSH. Todas las máquinas virtuales son objetivos potenciales para un ataque. Cuando se consigue poner en peligro a una máquina virtual, se usa como punto de entrada para atacar más recursos dentro de su entorno.

¿Por qué el acceso a la máquina virtual JIT es la solución?

Al igual que con todas las técnicas de prevención de ciberseguridad, el objetivo debería ser reducir la superficie expuesta a ataques. En este caso, eso significa tener menos puertos abiertos, especialmente puertos de administración.

Los usuarios legítimos también usan estos puertos, por lo que no resulta práctico mantenerlos cerrados.

Para resolver este problema, Microsoft Defender para la nube ofrece JIT. Gracias a JIT, se puede bloquear el tráfico entrante a las máquinas virtuales. Para ello, se reduce la exposición a ataques al mismo tiempo que se proporciona un acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario.

Funcionamiento de JIT con recursos de red en Azure y AWS

En Azure, puede bloquear el tráfico entrante en puertos específicos habilitando el acceso a máquinas virtuales Just-In-Time. Defender for Cloud garantiza que existen reglas para "denegar todo el tráfico entrante" de los puertos seleccionados en el grupo de seguridad de red (NSG) y las reglas de firewall de Azure. Estas reglas restringen el acceso a los puertos de administración de las máquinas virtuales de Azure y los defienden frente a ataques.

En caso de que ya existan otras reglas relativas a los puertos seleccionados, las reglas existentes tendrán prioridad sobre las nuevas reglas para "denegar todo el tráfico entrante". Si no hay ninguna regla existente en los puertos seleccionados, las nuevas reglas tendrán prioridad principal en los grupos de seguridad de red y Azure Firewall.

En AWS, al habilitar el acceso JIT a las reglas pertinentes de los grupos de seguridad EC2 adjuntos, para los puertos seleccionados, se revocan los cuales bloquean el tráfico entrante en esos puertos específicos.

Cuando un usuario solicita acceso a una máquina virtual, Defender for Cloud comprueba que este tenga permisos de control de acceso basado en rol (RBAC de Azure) para ella. Si la solicitud se aprueba, Defender for Cloud configura los grupos de seguridad de red y Azure Firewall para permitir el tráfico entrante a los puertos seleccionados desde las direcciones (o rangos) IP relevantes durante el periodo especificado. En AWS, Defender for Cloud crea un nuevo grupo de seguridad EC2 que permite el tráfico entrante a los puertos especificados. Una vez transcurrido ese tiempo, Defender for Cloud restaura los NSG a su estado anterior. Las conexiones que ya están establecidas no se interrumpen.

Nota

JIT no admite las máquinas virtuales que protegen los firewalls de Azure controlados mediante Azure Firewall Manager. Azure Firewall debe configurarse con Reglas (clásico) y no puede usar directivas de firewall.

Cómo Defender para la nube identifica las máquinas virtuales a las que se debe aplicar JIT

En el diagrama siguiente se muestra la lógica que Defender for Cloud aplica al decidir cómo clasificar las máquinas virtuales compatibles:

Cuando Defender for Cloud encuentra una máquina que puede beneficiarse de JIT, agrega esa máquina a la pestaña Recursos incorrectos de la recomendación.

Recomendación de acceso a la máquina virtual (VM) Just-in-Time (JIT).

Preguntas frecuentes: Acceso a máquinas virtuales Just-In-Time

¿Cuáles son los permisos necesarios para configurar y usar Just-In-Time?

JIT necesita que el plan 2 de Microsoft Defender para servidores esté habilitado en la suscripción.

Los roles Lector y SecurityReader pueden ver el estado y los parámetros de JIT.

Si quiere crear roles personalizados que puedan funcionar con JIT, necesita los detalles de la tabla siguiente.

Si va a configurar JIT en la máquina virtual de Amazon Web Service (AWS), deberá conectar su cuenta de AWS a Microsoft Defender for Cloud.

Sugerencia

Para crear un rol con menos privilegios para los usuarios que necesiten solicitar acceso JIT a una máquina virtual y no realizar ninguna otra operación JIT, use el script Set-JitLeastPrivilegedRole de las páginas de la comunidad de Defender for Cloud GitHub.

Para permitir a los usuarios: Permisos que se deben establecer
Configurar o editar una directiva JIT para una VM Asigne estas acciones al rol.
  • En el ámbito de una suscripción o un grupo de recursos asociados a la máquina virtual:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • En el ámbito de una suscripción o grupo de recursos de una máquina virtual:
    Microsoft.Compute/virtualMachines/write
Solicitud de acceso Just-In-Time a una máquina virtual Asigne estas acciones al usuario.
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/networkInterfaces/*/read
  • Microsoft.Network/publicIPAddresses/read
Leer directivas JIT Asigne estas acciones al usuario.
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Security/pricings/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

Nota:

Solo los Microsoft.Security permisos son pertinentes para AWS.

Pasos siguientes

En esta página se ha explicado por qué se debe usar el acceso a la máquina virtual (VM) Just-in-Time (JIT). Para más información sobre cómo para habilitar JIT y solicitar acceso a las máquinas virtuales habilitadas para JIT, consulte lo siguiente: