Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El Plan 2 de Defender para servidores de Microsoft Defender for Cloud proporciona una característica de acceso a máquinas Just-In-Time. Just-In-Time protege los recursos de actores de amenaza que buscan activamente máquinas con puertos de administración abiertos, como Protocolo de escritorio remoto (RDP) o Secure Shell (SSH). Todas las máquinas son posibles destinos para ataques. Una vez en peligro, una máquina puede servir como punto de entrada para atacar aún más recursos en el entorno.
Para reducir las superficies expuestas a ataques, minimice los puertos abiertos, especialmente los puertos de administración. Sin embargo, los usuarios legítimos también necesitan estos puertos, por lo que resulta poco práctico mantenerlos cerrados.
La característica de acceso a máquinas Just-In-Time de Defender for Cloud bloquea el tráfico entrante a las máquinas virtuales (VM), lo que reduce la exposición a ataques y garantiza un acceso sencillo cuando sea necesario.
Acceso Just-In-Time y recursos de red
Azure
En Azure, habilite el acceso Just-In-Time para bloquear el tráfico entrante en puertos específicos.
- Defender for Cloud garantiza que existen reglas para "denegar todo el tráfico entrante" de los puertos seleccionados en el grupo de seguridad de red (NSG) y reglas de Azure Firewall.
- Estas reglas restringen el acceso a los puertos de administración de las máquinas virtuales de Azure y los defienden del ataque.
- Si ya existen otras reglas para los puertos seleccionados, esas reglas existentes tienen prioridad sobre las nuevas reglas de "denegar todo el tráfico entrante".
- Si no hay ninguna regla existente en los puertos seleccionados, las nuevas reglas tienen la máxima prioridad en el Grupo de Seguridad de Red y Azure Firewall.
Amazon Web Services
En Amazon Web Services (AWS), habilite el acceso Just-In-Time para revocar las reglas pertinentes en los grupos de seguridad EC2 adjuntos (para los puertos seleccionados), bloqueando el tráfico entrante en esos puertos específicos.
- Cuando un usuario solicita acceso a una máquina virtual, Defender para servidores comprueba que este tenga permisos de control de acceso basado en rol (RBAC de Azure) para ella.
- Si se aprueba la solicitud, Defender for Cloud configura los NSG y Azure Firewall para permitir el tráfico entrante a los puertos seleccionados desde la dirección IP pertinente (o intervalo) durante el período de tiempo especificado.
- En AWS, Defender for Cloud crea un nuevo grupo de seguridad EC2 que permite el tráfico entrante a los puertos especificados.
- Una vez expirado el tiempo, Defender for Cloud restaura los NSG a sus estados anteriores.
- Las conexiones que ya están establecidas no se interrumpen.
Nota:
- Just-In-Time no admite las máquinas virtuales que protegen los firewalls de Azure controlados mediante Azure Firewall Manager.
- Azure Firewall debe configurarse con Reglas (clásico) y no puede usar directivas de firewall.
Identificación de máquinas virtuales para el acceso Just-In-Time
En el diagrama siguiente se muestra la lógica que Defender para servidores aplica al decidir cómo clasificar las máquinas virtuales compatibles:
Cuando Defender for Cloud encuentra una máquina que puede beneficiarse del acceso Just-In-Time, agrega esa máquina a la pestaña Recursos incorrectos de la recomendación.
