Compreensão do acesso just-in-time (JIT) à VM

Esta página explica os princípios por trás do recurso de acesso a VM just-in-time (JIT) do Microsoft Defender for Cloud e a lógica por trás da recomendação.

Para saber como aplicar JIT às suas VMs usando o portal do Azure (Defender for Cloud ou Azure Virtual Machines) ou programaticamente, consulte Como proteger suas portas de gerenciamento com JIT.

O risco de abrir portas de gerenciamento em uma máquina virtual

Os agentes de ameaças caçam ativamente máquinas acessíveis com portas de gerenciamento abertas, como RDP ou SSH. Todas as suas máquinas virtuais são alvos potenciais de um ataque. Quando uma VM é comprometida com êxito, ela é usada como ponto de entrada para atacar outros recursos em seu ambiente.

Por que o acesso à VM JIT é a solução

Tal como acontece com todas as técnicas de prevenção de cibersegurança, o seu objetivo deve ser reduzir a superfície de ataque. Neste caso, isso significa ter menos portas abertas, especialmente portas de gestão.

Seus usuários legítimos também usam essas portas, por isso não é prático mantê-las fechadas.

Para resolver esse dilema, o Microsoft Defender for Cloud oferece JIT. Com o JIT, você pode bloquear o tráfego de entrada para suas VMs, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário.

Como o JIT opera com recursos de rede no Azure e na AWS

No Azure, você pode bloquear o tráfego de entrada em portas específicas, habilitando o acesso de VM just-in-time. O Defender for Cloud garante a existência de regras de "negar todo o tráfego de entrada" para as portas selecionadas no grupo de segurança de rede (NSG) e nas regras do Firewall do Azure. Essas regras restringem o acesso às portas de gerenciamento de suas VMs do Azure e as defendem de ataques.

Se já existirem outras regras para as portas selecionadas, essas regras terão prioridade sobre as novas regras de "negar todo o tráfego de entrada". Se não houver regras existentes nas portas selecionadas, as novas regras terão prioridade máxima no NSG e no Firewall do Azure.

Na AWS, ao permitir o acesso JIT, as regras relevantes nos security groups do EC2 anexados, para as portas selecionadas, são revogadas, o que bloqueia o tráfego de entrada nessas portas específicas.

Quando um usuário solicita acesso a uma VM, o Defender for Cloud verifica se o usuário tem permissões de controle de acesso baseado em função do Azure (Azure RBAC) para essa VM. Se a solicitação for aprovada, o Defender for Cloud configurará os NSGs e o Firewall do Azure para permitir o tráfego de entrada para as portas selecionadas a partir do endereço IP (ou intervalo) relevante, pelo tempo especificado. Na AWS, o Defender for Cloud cria um novo security group do EC2 que permite o tráfego de entrada para as portas especificadas. Após o término do tempo, o Defender for Cloud restaura os NSGs para seus estados anteriores. As conexões já estabelecidas não são interrompidas.

Nota

O JIT não oferece suporte a VMs protegidas por Firewalls do Azure controladas pelo Gerenciador de Firewall do Azure. O Firewall do Azure deve ser configurado com Regras (Clássico) e não pode usar políticas de Firewall.

Como o Defender for Cloud identifica quais VMs devem ter o JIT aplicado

O diagrama a seguir mostra a lógica que o Defender for Cloud aplica ao decidir como categorizar suas VMs suportadas:

Quando o Defender for Cloud encontra uma máquina que pode se beneficiar do JIT, ele adiciona essa máquina à guia Recursos não íntegros da recomendação.

Recomendação de acesso à máquina virtual (VM) just-in-time (JIT).

Próximo passo

Esta página explicou por que o acesso à máquina virtual (VM) just-in-time (JIT) deve ser usado. Para saber como habilitar o JIT e solicitar acesso às suas VMs habilitadas para JIT: