Abilitare l'accesso JIT

Defender per server in Microsoft Defender per il cloud offre una funzionalità di accesso just-in-time alle macchine.

È possibile usare l'accesso JUST-In-Time di Microsoft Defender for Cloud per proteggere le macchine virtuali di Azure dall'accesso non autorizzato alla rete. Molte volte i firewall contengono regole che lasciano le macchine virtuali vulnerabili agli attacchi. JIT consente di consentire l'accesso alle macchine virtuali solo quando è necessario l'accesso, sulle porte necessarie e per il periodo di tempo necessario.

Questo articolo illustra come configurare e usare l'accesso JUST-In-Time, incluse le procedure seguenti:

Abilitare la funzionalità just-in-time nelle VM dal portale di Azure o in modalità programmatica.
Richiedere l'accesso a una macchina virtuale con accesso just in time (JIT) abilitato dal portale di Azure o programmaticamente.
Controllare l'attività di accesso just-in-time per assicurarsi che le macchine virtuali siano protette in modo adeguato

Prerequisiti

È necessario abilitare Microsoft Defender per server piano 2 nella sottoscrizione.
Macchine virtuali supportate: macchine virtuali distribuite tramite Azure Resource Manager, macchine virtuali protette da Firewall di Azure nella stessa rete virtuale della macchina virtuale, istanze DI AWS EC2 (anteprima).
Macchine virtuali non supportate: macchine virtuali distribuite con modelli di distribuzione classica, macchine virtuali protette da Firewall di Azure controllate da Gestione firewall di Azure.
Per configurare l'accesso JUST-In-Time nelle macchine virtuali AWS, è necessario connettere l'account AWS a Microsoft Defender for Cloud.
Per creare un criterio JIT, il nome del criterio, insieme al nome della macchina virtuale di destinazione, non deve superare un totale di 56 caratteri.
Sono necessarie autorizzazioni Lettore e SecurityReader oppure un ruolo personalizzato può visualizzare lo stato e i parametri JIT.
Per un ruolo personalizzato, assegnare le autorizzazioni riepilogate nella tabella. Per creare un ruolo con privilegi minimi per gli utenti che devono richiedere solo l'accesso JIT a una macchina virtuale, usare lo scriptSet-JitLeastPrivilegedRole.

Azione utente	Autorizzazioni da impostare
Configurare o modificare un criterio JIT per una macchina virtuale	Assegnare queste azioni al ruolo: Nell'ambito di una sottoscrizione (o di un gruppo di risorse quando si usa solo l'API o PowerShell) associato alla macchina virtuale: `Microsoft.Security/locations/jitNetworkAccessPolicies/write` Nell'ambito di una sottoscrizione (o di un gruppo di risorse quando si usa solo l'API o PowerShell) della macchina virtuale: `Microsoft.Compute/virtualMachines/write`
Richiedere l'accesso JIT a una macchina virtuale	Assegnare queste azioni all'utente: `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/locations/jitNetworkAccessPolicies//read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/networkInterfaces//read` `Microsoft.Network/publicIPAddresses/read`
Leggere i criteri JIT	Assegnare queste azioni all'utente: `Microsoft.Security/locations/jitNetworkAccessPolicies/read` `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/policies/read` `Microsoft.Security/pricings/read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/*/read`

Annotazioni

Solo le Microsoft.Security autorizzazioni sono rilevanti per AWS. Per creare un ruolo con privilegi minimi per gli utenti che devono richiedere solo l'accesso JIT a una macchina virtuale, usare lo script Set-JitLeastPrivilegedRole.

Usare l'accesso JIT alle macchine virtuali con Microsoft Defender for Cloud

È possibile usare Defender for Cloud oppure abilitare l'accesso JIT alle macchine virtuali a livello di codice con opzioni personalizzate. In alternativa, è possibile abilitare JIT con parametri predefiniti incorporati dalle macchine virtuali di Azure.

Accesso just-in-time alle macchine virtuali mostra le macchine virtuali raggruppate in:

Configurate - Macchine virtuali configurate per supportare l'accesso just-in-time alle macchine virtuali, e mostra:
- numero di richieste JIT approvate negli ultimi sette giorni
- data e ora dell'ultimo accesso
- i dettagli della connessione configurati
- ultimo utente
Non configurato: macchine virtuali senza JIT abilitato, ma in grado di supportare JIT. È consigliabile abilitare JIT per queste macchine virtuali.
Non supportato : macchine virtuali che non supportano JIT perché:
- Gruppo di sicurezza di rete mancante (NSG) o Firewall di Azure: JIT richiede la configurazione di un gruppo di sicurezza di rete o una configurazione del firewall (o entrambi)
- Macchina virtuale classica: JIT supporta le macchine virtuali distribuite tramite Azure Resource Manager.
- Altro: la soluzione JIT è disabilitata nei criteri di sicurezza della sottoscrizione o del gruppo di risorse.

Abilitare JIT nelle macchine virtuali da Microsoft Defender for Cloud

Da Defender for Cloud è possibile abilitare e configurare l'accesso jit alla macchina virtuale.

Aprire Protezioni del carico di lavoro e, nelle protezioni avanzate, selezionare Accesso JUST-in-time alle macchine virtuali.
Nella scheda Macchine virtuali non configurate contrassegnare le macchine virtuali da proteggere con JIT e selezionare Abilita JIT nelle macchine virtuali.

La pagina di accesso alla macchina virtuale JIT apre l'elenco delle porte consigliate da Defender per Cloud per la protezione:
- 22 - SSH
- 3389 - RDP
- 5985 - WinRM
- 5986 - WinRM
Per personalizzare l'accesso JIT:
1. Seleziona Aggiungi.
2. Selezionare una delle porte nell'elenco per modificarla o immettere altre porte. Per ogni porta, è possibile impostare:
  - Protocollo
  - Indirizzi IP di origine consentiti
  - Tempo massimo richiesta
3. Seleziona OK.
Per salvare la configurazione della porta, selezionare Salva.

Modificare la configurazione JIT in una macchina virtuale abilitata per JIT usando Defender for Cloud

È possibile modificare la configurazione JUST-In-Time di una macchina virtuale aggiungendo e configurando una nuova porta da proteggere per tale macchina virtuale o modificando qualsiasi altra impostazione correlata a una porta già protetta.

Per modificare le regole JIT esistenti per una macchina virtuale:

Aprire Protezioni del carico di lavoro e, nelle protezioni avanzate, selezionare Accesso JUST-in-time alle macchine virtuali.
Nella scheda Macchine virtuali configurate fare clic con il pulsante destro del mouse su una macchina virtuale e scegliere Modifica.
Nella configurazione di accesso jit alla macchina virtuale è possibile modificare l'elenco delle porte oppure selezionare Aggiungi una nuova porta personalizzata.
Al termine della modifica delle porte, selezionare Salva.

Richiedere l'accesso a una macchina virtuale abilitata per JIT da Microsoft Defender for Cloud

Quando una macchina virtuale ha abilitato JIT, è necessario richiedere l'accesso per la connessione. È possibile richiedere l'accesso in uno qualsiasi dei modi supportati, indipendentemente da come è stato abilitato l’accesso JIT.

Nella pagina Accesso JUST-in-time alla macchina virtuale selezionare la scheda Configurata .
Selezionare le macchine virtuali a cui si vuole accedere.
- L'icona nella colonna Dettagli connessione indica se JIT è abilitato nel gruppo di sicurezza di rete o nel firewall. Se è abilitata in entrambi i casi, viene visualizzata solo l'icona del firewall.
- La colonna Dettagli connessione mostra l'utente e le porte che possono accedere alla macchina virtuale.
Selezionare Richiedi accesso. Verrà visualizzata la finestra Richiedi accesso .
In Richiedi accesso selezionare le porte da aprire per ogni macchina virtuale, gli indirizzi IP di origine su cui si vuole aprire la porta e l'intervallo di tempo per aprire le porte.
Selezionare Apri porte.

Annotazioni

Se un utente che richiede l'accesso è protetto da un proxy, è possibile immettere l'intervallo di indirizzi IP del proxy.

Altri modi per usare l'accesso JIT alle macchine virtuali

Macchine virtuali di Azure

Abilitare l'accesso Just-In-Time (JIT) sulle macchine virtuali tramite le macchine virtuali di Azure.

È possibile abilitare JIT in una macchina virtuale dalle pagine delle macchine virtuali di Azure del portale di Azure.

Suggerimento

Se una macchina virtuale ha già abilitato JIT, la pagina di configurazione della macchina virtuale mostra che JIT è abilitato. È possibile usare il collegamento per aprire la pagina di accesso alla macchina virtuale JIT in Defender for Cloud per visualizzare e modificare le impostazioni.

Nel portale di Azure cercare e selezionare Macchine virtuali.
Selezionare la macchina virtuale da proteggere con JIT.
Nel menu selezionare Configurazione.
In Accesso JUST-in-time selezionare Abilita JUST-in-time.

Per impostazione predefinita, l'accesso just-in-time per la macchina virtuale usa le impostazioni seguenti:
- Computer Windows:
  - Porta RDP: 3389
  - Accesso massimo consentito: 3 ore
  - Indirizzi IP di origine consentiti: Qualsiasi
- Macchine Linux
  - Porta SSH: 22
  - Accesso massimo consentito: 3 ore
  - Indirizzi IP di origine consentiti: Qualsiasi
Per modificare uno di questi valori o aggiungere altre porte alla configurazione JIT, usare la pagina JIT di Microsoft Defender for Cloud:
1. Dal menu di Defender for Cloud selezionare Accesso Just-in-time alle macchine virtuali.
2. Nella scheda Configurato fare clic con il pulsante destro del mouse sulla macchina virtuale a cui si vuole aggiungere una porta e scegliere Modifica.
3. In Configurazione dell'accesso jit alle macchine virtuali è possibile modificare le impostazioni esistenti di una porta già protetta o aggiungere una nuova porta personalizzata.
4. Al termine della modifica delle porte, selezionare Salva.

Richiedere l'accesso a una macchina virtuale abilitata per JIT dalla pagina di connessione della macchina virtuale di Azure

Quando una macchina virtuale ha una funzionalità JIT abilitata, è necessario richiedere l'accesso per la connessione. È possibile richiedere l'accesso in uno qualsiasi dei modi supportati, indipendentemente da come è stato abilitato l’accesso JIT.

Screenshot di una richiesta di accesso just-in-time alle macchine virtuali che mostra le porte selezionate e la durata dell'accesso.

Per richiedere l'accesso dalle macchine virtuali di Azure:

Nel portale di Azure aprire le pagine delle macchine virtuali.
Selezionare la macchina virtuale a cui connettersi e aprire la pagina Connetti.

Azure verifica se l’accesso JIT è abilitato nella macchina virtuale selezionata.
- Se l’accesso JIT non è abilitato per la macchina virtuale, viene richiesto di abilitarlo.
- Se invece l’accesso JIT è abilitato, selezionare Richiedi accesso per passare una richiesta di accesso con l'indirizzo IP richiedente, l'intervallo di tempo e le porte configurate per la macchina virtuale.

Annotazioni

Dopo l'approvazione di una richiesta per una macchina virtuale protetta da Firewall di Azure, Defender for Cloud fornisce all'utente i dettagli di connessione appropriati (il mapping delle porte dalla tabella DNAT) da usare per connettersi alla macchina virtuale.

PowerShell

Abilitare JIT nelle macchine virtuali con PowerShell

Per abilitare l'accesso just-in-time alle macchine virtuali da PowerShell, usare il cmdlet Set-AzJitNetworkAccessPolicyufficiale di Microsoft Defender per Cloud PowerShell.

Esempio : abilitare l'accesso just-in-time alle macchine virtuali in una macchina virtuale specifica con le regole seguenti:

Chiudere le porte 22 e 3389
Impostare un intervallo di tempo massimo di 3 ore per ognuno in modo che possano essere aperti per ogni richiesta approvata
Consentire all'utente che richiede l'accesso per controllare gli indirizzi IP di origine
Consentire all'utente che richiede l'accesso di stabilire una sessione con successo dopo una richiesta di accesso just-in-time approvata.

I comandi di PowerShell seguenti creano questa configurazione JIT:

Assegna una variabile che contiene le regole di accesso just-in-time per una macchina virtuale.

$JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

Inserire le regole di accesso JIT alla macchina virtuale in una matrice:
```
$JitPolicyArr=@($JitPolicy)
```
Configurare le regole di accesso just-in-time delle macchine virtuali nella macchina virtuale selezionata:
```
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
```
Usare il parametro -Name per specificare una macchina virtuale. Ad esempio, per stabilire la configurazione JIT per due macchine virtuali diverse, VM1 e VM2, usare: Set-AzJitNetworkAccessPolicy -Name VM1 e Set-AzJitNetworkAccessPolicy -Name VM2.

Richiedere l'accesso a una macchina virtuale abilitata per JIT con PowerShell

Nell'esempio seguente è possibile visualizzare una richiesta di accesso just-in-time alla macchina virtuale a una macchina virtuale specifica per la porta 22, per un indirizzo IP specifico e per un periodo di tempo specifico:

Eseguire i comandi seguenti in PowerShell:

Configurare le proprietà di accesso alle richieste della macchina virtuale:

$JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        endTimeUtc="2020-07-15T17:00:00.3658798Z";
        allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

Inserire i parametri della richiesta di accesso alla macchina virtuale in una matrice:
```
$JitPolicyArr=@($JitPolicyVm1)
```

Inviare la richiesta di accesso utilizzando l'ID risorsa del passaggio 1.

Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Per altre informazioni, vedere la documentazione dei cmdlet di PowerShell.

REST API

Abilitare JIT nelle macchine virtuali usando l'API REST

La funzionalità di accesso JUST-In-Time alle macchine virtuali può essere usata tramite l'API Microsoft Defender for Cloud. Usare questa API per ottenere informazioni sulle macchine virtuali configurate, aggiungerne di nuove, richiedere l'accesso a una macchina virtuale e altro ancora.

Per altre informazioni, vedere Criteri di accesso alla rete JIT.

Richiedere l'accesso a una macchina virtuale abilitata per JIT usando l'API REST