Compartilhar via

Acesso ao computador just-in-time

  • Artigo

O Plano 2 do Defender para servidores no Microsoft Defender para Nuvem fornece um recurso de acesso just-in-time ao computador.

Os agentes de ameaça buscam ativamente computadores acessíveis com portas de gerenciamento abertas, como RDP ou SSH. Todos os computadores são alvos potenciais para um ataque. Quando um computador é comprometido com sucesso, ele é usado como o ponto de entrada para atacar mais recursos no ambiente.

Para reduzir as superfícies de ataque, queremos menos portas abertas, especialmente portas de gerenciamento. Usuários legítimos também usam essas portas – portanto, não é prático mantê-las fechadas.

Para resolver esse dilema, o Defender para Nuvem oferece acesso just-in-time para que você possa bloquear o tráfego de entrada para suas VMs, reduzindo a exposição a ataques e fornecendo acesso fácil para se conectar às VMs quando necessário. O acesso just-in-time está disponível quando o Plano 2 do Defender para servidores está habilitado.

Acesso just-in-time e recursos de rede

Azure

No Azure, você pode bloquear o tráfego de entrada em portas específicas, habilitando o acesso just-in-time.

  • O Microsoft Defender para Nuvem garante que as regras de "negar todo o tráfego de entrada" existam para as portas selecionadas no grupo de segurança de rede (NSG) e nasregras do Firewall do Azure.
  • Essas regras restringem o acesso às portas de gerenciamento das VMs do Azure e as defendem contra ataques.
  • Se já existirem outras regras para as portas selecionadas, essas têm prioridade sobre as novas regras "negar todo o tráfego de entrada".
  • Se não houver nenhuma regra existente nas portas selecionadas, as novas regras têm a prioridade mais alta no NSG e no Firewall do Azure.

AWS

No AWS, ao habilitar o acesso just-in-time, as regras relevantes nos grupos de segurança EC2 anexados (para as portas selecionadas) são revogadas, bloqueando o tráfego de entrada nessas portas específicas.

  • Quando um usuário solicita acesso a uma VM, o Defender para servidores verifica se o usuário tem permissões de controle de acesso baseado em função (RBAC) do Azure para essa VM.
  • Se a solicitação for aprovada, O Defender para Nuvem configurará o NSGs e o Firewall do Azure para permitir o tráfego de entrada para as portas selecionadas do endereço IP (ou intervalo) relevante, para o período de tempo especificado.
  • Na AWS, o Defender para Nuvem cria um grupo de segurança EC2 que permite o tráfego de entrada para as portas especificadas.
  • Depois que o tempo expira, o Defender para Nuvem restaura os NSGs para seus estados anteriores
  • As conexões que já estão estabelecidas não são interrompidas.

Observação

  • O acesso just-in-time não dá suporte a VMs protegidas pelos Firewalls do Azure controlados pelo Gerenciador de Firewall do Azure.
  • O Firewall do Azure deve ser configurado com Regras (Clássico) e não pode usar políticas de Firewall.

Identificar VMs para acesso just-in-time

O diagrama a seguir mostra a lógica que o Defender para servidores aplica ao decidir como categorizar suas VMs com suporte:

Quando o Defender para Nuvem encontra um computador que pode se beneficiar do acesso just-in-time, ele adiciona esse computador à guia Recursos não íntegros da recomendação.

Recomendação de acesso à VM (máquina virtual) JIT (just-in-time).

Próximas etapas

Habilite o acesso just-in-time em VMs.