Compartir a través de

Acceso a máquinas Just-In-Time

  • Artículo

Defender para servidores Plan 2 en Microsoft Defender for Cloud proporciona una característica de acceso a máquinas Just-In-Time.

Los actores de amenazas buscan activamente máquinas accesibles con puertos de administración abiertos, como RDP o SSH. Todas las máquinas son objetivos potenciales para un ataque. Cuando se consigue poner en peligro una máquina, se usa como punto de entrada para atacar más recursos de su entorno.

Para reducir las superficies expuestas a ataques, se requieren menos puertos abiertos, especialmente puertos de administración. Los usuarios legítimos también usan estos puertos, por lo que no resulta práctico mantenerlos cerrados.

Para resolver este dilema, Defender for Cloud ofrece acceso a máquinas Just-In-Time para poder bloquear el tráfico entrante a las máquinas virtuales, lo que reduce la exposición a ataques al tiempo que proporciona acceso fácil para conectarse a las máquinas virtuales cuando sea necesario. El acceso Just-In-Time está disponible cuando Defender para servidores Plan 2 está habilitado.

Acceso Just-In-Time y recursos de red

Azure

En Azure, puede bloquear el tráfico entrante en puertos específicos habilitando el acceso Just-In-Time.

  • Defender for Cloud garantiza que existen reglas para "denegar todo el tráfico entrante" de los puertos seleccionados en el grupo de seguridad de red (NSG) y las reglas de Azure Firewall.
  • Estas reglas restringen el acceso a los puertos de administración de las máquinas virtuales de Azure y los defienden frente a ataques.
  • En caso de que ya existan otras reglas relativas a los puertos seleccionados, las reglas existentes tendrán prioridad sobre las nuevas reglas para "denegar todo el tráfico entrante".
  • Si no hay ninguna regla existente en los puertos seleccionados, las nuevas reglas tendrán prioridad principal en los grupos de seguridad de red y Azure Firewall.

AWS

En AWS, al habilitar el acceso Just-In-Time a las reglas pertinentes de los grupos de seguridad EC2 adjuntos para los puertos seleccionados se revocan y bloquean el tráfico entrante en esos puertos específicos.

  • Cuando un usuario solicita acceso a una máquina virtual, Defender para servidores comprueba que este tenga permisos de control de acceso basado en rol (RBAC de Azure) para ella.
  • Si la solicitud se aprueba, Defender for Cloud configura los grupos de seguridad de red y Azure Firewall para permitir el tráfico entrante a los puertos seleccionados desde las direcciones (o rangos) IP pertinentes durante el periodo especificado.
  • En AWS, Defender for Cloud crea un nuevo grupo de seguridad EC2 que permite el tráfico entrante a los puertos especificados.
  • Una vez transcurrido ese tiempo, Defender for Cloud restaura los NSG a su estado anterior
  • Las conexiones que ya están establecidas no se interrumpen.

Nota:

  • Just-In-Time no admite las máquinas virtuales que protegen los firewalls de Azure controlados mediante Azure Firewall Manager.
  • Azure Firewall debe configurarse con Reglas (clásico) y no puede usar directivas de firewall.

Identificación de máquinas virtuales para el acceso Just-In-Time

En el diagrama siguiente se muestra la lógica que Defender para servidores aplica al decidir cómo clasificar las máquinas virtuales compatibles:

Cuando Defender for Cloud encuentra una máquina que puede beneficiarse del acceso Just-In-Time, agrega esa máquina a la pestaña Recursos incorrectos de la recomendación.

Recomendación de acceso a la máquina virtual (VM) Just-in-Time (JIT).

Pasos siguientes

Habilitar el acceso Just-In-Time en máquinas virtuales.