Informazioni sull'accesso JIT alle macchine virtuali
Questa pagina illustra i principi alla base della funzionalità di accesso JIT (JUST-In-Time) di Microsoft Defender per il cloud e la logica alla base della raccomandazione.
Per informazioni su come applicare JIT alle macchine virtuali usando il portale di Azure (Defender per il cloud o Azure Macchine virtuali) o a livello di codice, vedere Come proteggere le porte di gestione con JIT.
Il rischio delle porte di gestione aperte in una macchina virtuale
Gli attori delle minacce eseguono attivamente la ricerca di computer accessibili con porte di gestione aperte, ad esempio RDP o SSH. Tutte le macchine virtuali sono obiettivi potenziali per un attacco. Quando una VM viene compromessa, viene usata come punto di ingresso per attaccare altre risorse nell'ambiente.
Perché l'accesso JIT alle macchine virtuali è la soluzione
Come per tutte le tecniche di prevenzione della cybersecurity, l'obiettivo deve essere quello di ridurre la superficie di attacco. In questo caso, ciò significa avere meno porte aperte, in particolare le porte di gestione.
Gli utenti legittimi usano anche queste porte, quindi non è pratico mantenerle chiuse.
Per risolvere questo dilemma, Microsoft Defender per il cloud offre JIT. Con JIT, è possibile bloccare il traffico in ingresso alle macchine virtuali, riducendo l'esposizione agli attacchi e al tempo stesso offrendo un facile accesso per connettersi alle macchine virtuali quando necessario.
Funzionamento di JIT con le risorse di rete in Azure e AWS
In Azure è possibile bloccare il traffico in ingresso su porte specifiche abilitando l'accesso JIT alle macchine virtuali. Microsoft Defender per il cloud garantisce che esistano regole "nega tutto il traffico in ingresso" per le porte selezionate nel gruppo di sicurezza di rete (NSG) e regole di Firewall di Azure. Queste regole limitano l'accesso alle porte di gestione delle macchine virtuali di Azure e le proteggono da attacchi.
Se esistono già altre regole per le porte selezionate, tali regole esistenti avranno la priorità sulle nuove regole definite per "nega tutto il traffico in ingresso". Se non sono presenti regole sulle porte selezionate, le nuove regole avranno la priorità più alta nel gruppo di sicurezza di rete e in Firewall di Azure.
In AWS, abilitando l'accesso JIT alle regole pertinenti nei gruppi di sicurezza EC2 collegati, per le porte selezionate, vengono revocati che bloccano il traffico in ingresso su tali porte specifiche.
Quando un utente richiede l'accesso a una macchina virtuale, Microsoft Defender per il cloud verifica che l'utente abbia le autorizzazioni di Controllo degli accessi in base al ruolo di Azure per tale macchina virtuale. Se la richiesta viene approvata, Microsoft Defender per il cloud configura i gruppi di sicurezza di rete e Firewall di Azure per consentire il traffico in ingresso verso le porte selezionate dall'indirizzo IP pertinente (o intervallo), per il periodo di tempo specificato. In AWS Microsoft Defender per il cloud crea un nuovo gruppo di sicurezza EC2 che consente il traffico in ingresso verso le porte specificate. Al termine di questo periodo, Defender for Cloud ripristina gli stati precedenti dei gruppi di sicurezza di rete. Le connessioni già stabilite non vengono interrotte.
Nota
JIT non supporta le macchine virtuali protette da Firewall di Azure controllate da Gestione firewall di Azure. Firewall di Azure deve essere configurato con regole (versione classica) e non può usare criteri del firewall.
Come Defender per il cloud identificare le macchine virtuali a cui applicare JIT
Il diagramma seguente illustra la logica che Defender per il cloud si applica quando si decide come classificare le macchine virtuali supportate:
Quando Defender per il cloud trova un computer che può trarre vantaggio da JIT, tale computer viene aggiunto alla scheda Risorse non integre della raccomandazione.
Passaggio successivo
Questa pagina ha spiegato perché è consigliabile usare l'accesso JIT (Just-In-Time) alle macchine virtuali .This page explained why just-in-time (JIT) virtual machine (VM) access should be used. Per informazioni su come abilitare JIT e richiedere l'accesso alle macchine virtuali abilitate per JIT: