Descrever o Azure Bastion e o acesso JIT

Concluído

Vamos supor que você tenha configurado várias redes virtuais que usam uma combinação de NSGs e Firewalls do Azure para proteger e filtrar o acesso aos ativos e recursos, incluindo máquinas virtuais (VMs). Agora você está protegido contra ameaças externas, mas precisa permitir que seus desenvolvedores e cientista de dados, que estejam trabalhando remotamente, acessem diretamente essas VMs.

Em um modelo tradicional, você precisaria expor as portas de protocolo RDP e SSH (Secure Shell) à Internet. Esses protocolos podem ser usados para obter acesso remoto às suas VMs. Esse processo cria uma ameaça de superfície significativa que pode ser explorada por invasores que caçam ativamente computadores acessíveis com portas de gerenciamento abertas, como RDP ou SSH. Quando uma VM é comprometida com êxito, ela é usada como o ponto de entrada para atacar outros recursos no seu ambiente.

Azure Bastion

O Azure Bastion é um serviço que ao ser implantado permite que você se conecte a uma máquina virtual usando seu navegador e o portal do Azure. O serviço do Azure Bastion é um serviço PaaS totalmente gerenciado por plataforma que pode ser provisionado dentro de sua rede virtual. O Azure Bastion fornece conectividade RDP e SSH segura e direta com suas máquinas virtuais diretamente do portal do Azure usando o protocolo TLS. Ao se conectar por meio do Azure Bastion, suas máquinas virtuais não precisarão de um endereço IP público, nem de um agente e tampouco de um software cliente especial.

Diagrama que mostra como um usuário pode fazer uma conexão de área de trabalho remota com uma VM do Azure usando o Azure Bastion.

O Bastion fornece conectividade RDP e SSH segura a todas as VMs na rede virtual, e redes virtuais emparelhadas, em que é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH.

A implantação do Azure Bastion é feita por rede virtual ou rede virtual com suporte a emparelhamento de rede virtual, não por assinatura, conta ou máquina virtual. Após você provisionar o serviço do Azure Bastion na sua rede virtual, a experiência de RDP/SSH é disponibilizada para todas as suas VMs na mesma VNet, assim como para as que estão em VNets emparelhadas.

Principais recursos do Azure Bastion

Os seguintes recursos estão disponíveis:

  • RDP e SSH diretamente no portal do Azure: você pode obter acesso direto à sessão RDP e SSH no portal do Azure usando uma experiência perfeita de único clique.
  • Sessão remota por TLS e passagem de firewall para RDP/SSH: no portal do Azure, uma conexão com a VM abrirá um cliente Web baseado em HTML5 que é transmitido automaticamente para seu dispositivo local. Você obterá seu protocolo RDP e SSH para atravessar os firewalls corporativos com segurança. A conexão é protegida usando o protocolo TLS para estabelecer a criptografia.
  • Não é necessário IP público na VM do Azure: o Azure Bastion abre a conexão RDP/SSH com sua máquina virtual do Azure usando IP privado em sua VM. Você não precisa de um endereço IP público.
  • Sem problemas de gerenciamento de NSGs: um serviço PaaS de plataforma totalmente gerenciado do Azure que é protegido internamente para fornecer conectividade RDP/SSH segura. Você não precisa aplicar nenhum NSGs em uma sub-rede do Azure Bastion.
  • Proteção contra a varredura de porta: como você não precisa expor suas máquinas virtuais à Internet pública, suas VMs são protegidas contra a varredura de portas por usuários invasores e mal-intencionados localizados fora de sua rede virtual.
  • Proteção unificada contra explorações de dia zero: o Azure Bastion é um serviço de PaaS totalmente gerenciado por plataforma. Como ele reside no perímetro de sua rede virtual, você não precisa se preocupar em proteger cada uma das máquinas virtuais da sua rede virtual. A plataforma Azure oferece proteção contra explorações de dia zero, mantendo o Azure Bastion protegido e sempre atualizado para você.

Use o Azure Bastion para estabelecer conectividade segura de RDP e SSH para suas máquinas virtuais no Azure.

Acesso Just-In-Time

O acesso JIT (just-in-time) permite bloquear o tráfego de entrada às suas VMs, reduzindo a exposição a ataques enquanto fornece acesso fácil para se conectar às VMs quando necessário.

Ao habilitar o acesso just-in-time à VM, você pode selecionar as portas na VM para as quais o tráfego de entrada será bloqueado. O Microsoft Defender para Nuvem, uma ferramenta de proteção contra ameaças e gestão da postura de segurança, garante que regras de "negar todo o tráfego de entrada" existam para as portas selecionadas no grupo de segurança de rede (NSG) e nas regras do Firewall do Azure. Essas regras restringem o acesso às portas de gerenciamento das VMs do Azure e as defendem contra ataques.

Se já existirem outras regras para as portas selecionadas, essas têm prioridade sobre as novas regras "negar todo o tráfego de entrada". Se não houver nenhuma regra existente nas portas selecionadas, as novas regras têm a prioridade mais alta no NSG e no Firewall do Azure.

Quando um usuário solicita acesso a uma VM, o Defender for Cloud verifica se o usuário tem permissões de Controle de acesso baseado em função do Azure (Azure RBAC) para aquela VM. Se a solicitação for aprovada, O Defender for Cloud configurará o NSGs e o Firewall do Azure para permitir o tráfego de entrada para as portas selecionadas do endereço IP (ou intervalo) relevante, para o período de tempo especificado. Depois que o tempo expirar, o Defender for Cloud restaura os NSGs aos seus estados anteriores. As conexões que já estão estabelecidas não são interrompidas.

O JIT requer que o Microsoft Defender para servidores seja habilitado na assinatura.