Partager via

Accès juste-à-temps aux machines

  • Article

Defender pour serveurs – Plan 2 dans Microsoft Defender for Cloud fournit une fonctionnalité d’accès juste-à-temps aux machines.

Les acteurs des menaces repèrent activement les machines accessibles avec des ports de gestion ouverts, par exemple pour les protocoles RDP ou SSH. Toutes vos machines virtuelles sont des cibles potentielles pour une attaque. Quand une machine virtuelle est compromise, elle est utilisée comme point d’entrée pour attaquer d’autres ressources de l’environnement.

Pour réduire les surfaces d’attaque, nous voulons moins de ports ouverts, en particulier les ports de gestion. Des utilisateurs légitimes utilisent également ces ports : il n’est donc pas pratique de les garder fermés.

Pour résoudre ce dilemme, Defender for Cloud offre un accès juste-à-temps aux machines qui vous permet de verrouiller le trafic entrant vers vos machines virtuelles, réduisant ainsi l’exposition aux attaques tout en fournissant un accès facile pour se connecter aux machines virtuelles quand c’est nécessaire. L’accès juste-à-temps est disponible quand Defender pour serveurs – Plan 2 est activé.

Accès juste-à-temps et ressources réseau

Azure

Dans Azure, vous pouvez bloquer le trafic entrant sur des ports spécifiques en activant l’accès juste-à-temps.

  • Defender pour le cloud garantit l’existence de règles de « refus de tout le trafic entrant » pour les ports sélectionnés dans les règles du groupe de sécurité réseau (NSG) et de Pare-feu Azure.
  • Ces règles restreignent l’accès aux ports de gestion de vos machines virtuelles Azure et les protègent contre les attaques.
  • Si d’autres règles existent déjà pour les ports sélectionnés, elles sont prioritaires sur les nouvelles règles de « refus de tout le trafic entrant ».
  • S’il n’existe aucune règle sur les ports sélectionnés, alors les nouvelles règles sont prioritaires dans le groupe de sécurité réseau et Pare-feu Azure.

AWS

Dans AWS, en activant l’accès juste-à-temps, les aux règles pertinentes dans les groupes de sécurité EC2 attachés (pour les ports sélectionnés) sont révoquées, bloquant le trafic entrant sur ces ports spécifiques.

  • Quand un utilisateur demande l’accès à une machine virtuelle, Defender pour serveurs vérifie que cet utilisateur dispose des autorisations de contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour cette machine virtuelle.
  • Si la requête est approuvée, Defender pour le cloud configure les NSG et Pare-feu Azure afin d’autoriser le trafic entrant vers les ports sélectionnés à partir de l’adresse IP (ou de la plage d’adresses IP) correspondante, pendant la durée spécifiée.
  • Dans AWS, Defender pour le cloud crée un groupe de sécurité EC2 qui autorise le trafic entrant vers les ports spécifiés.
  • Après expiration du délai, Defender for Cloud restaure les groupes de sécurité réseau à leur état précédent.
  • Les connexions déjà établies ne sont pas interrompues.

Remarque

  • L’accès juste-à-temps ne prend pas en charge les machines virtuelles protégées par des pare-feux Azure contrôlés par Azure Firewall Manager.
  • Le Pare-feu Azure doit être configuré avec des règles (classiques) et ne peut pas utiliser des stratégies de pare-feu.

Identifier les machines virtuelles pour l’accès juste-à-temps

Le diagramme suivant montre la logique appliquée par Defender pour serveurs pour décider comment catégoriser vos machines virtuelles prises en charge :

Quand Defender for Cloud trouve une machine qui peut bénéficier de l’accès juste-à-temps, il l’ajoute à l’onglet Ressources non saines de la recommandation.

Recommandation d’accès aux machines virtuelles juste-à-temps (JAT).

Étapes suivantes

Activer l’accès juste-à-temps sur des machines virtuelles