Hardening do acesso ao jump box?

Como você garante a segurança do host jump/jump box e das credenciais do administrador?

Aqui estão o que eu consigo pensar:

Restringir o acesso de entrada à rede apenas ao acesso via RDP a partir dos seus servidores RDS e as portas e IPs necessários para comunicação com o AD e gerenciamento de configuração.

Configurar o AppLocker para restringir o software que roda nas jump boxes.

Exigir autenticação por cartão inteligente para login nas jump boxes.

Adicionar licenças às jump boxes para que mais de 2 administradores possam fazer login ao mesmo tempo.

Requer uma conexão VPN.

um acesso em camadas para todos os sistemas é muito mais importante, a jump box é apenas um ponto de acesso adicional em uma cadeia - tenha um conceito e sistema adequado, como este Securing privileged access Enterprise access model - Privileged access | Microsoft Learn

Para um sistema simples como uma jump box, o hardened padrão do sistema operacional deve ser padrão - o que também significa, não colocar nada na própria jump box (como um gerenciador de senhas) que possa comprometer todo o restante

Junte a Jumpbox ao seu próprio domínio em uma rede que não está conectada à Internet e ao resto da sua LAN com um firewall de hardware no meio. Então, faça uma confiança unidirecional para seu domínio de origem confiar na jump domain, mas não vice-versa, assim você não consegue invadir pela LAN normal. Então, seus administradores fazem login usando credenciais separadas no domínio de jump com MFA. Depois, você faz o salto de volta desse domínio para administrar o domínio regular. É o que eu faço. Você pode me perguntar sobre isso se quiser. Olhe para a antiga escola Red Forest. Ainda funciona, também.

ATUALIZAÇÃO: A Microsoft está tentando empurrar as pessoas para isso agora. Eu incorporei partes disso no meu design. Estou trabalhando para que o Azure AD seja administrado a partir daí via Conditional Access / Restrições de IP. Preciso abrir um buraco para o Azure Management DNS/IP Endpoints.

CISA, SANS e cerca de um milhão de outras organizações têm práticas recomendadas pré-construídas para isso. Basta procurar no Google.