Mit der Zugriffsmethode Just-in-Time (JIT) können Unternehmen menschlichen und nicht menschlichen Benutzern in Echtzeit erhöhten und granularen privilegierten Zugriff auf eine Anwendung oder ein System gewähren, um eine notwendige Aufgabe auszuführen. Branchenanalysten empfehlen das JIT-Konzept als Möglichkeit, dauerhaften Zugriff zugunsten eines sicheren privilegierten Zugriffs zu minimieren.
JIT-Zugriff stellt sicher, dass Benutzer nicht mehr zu jeder Zeit auf privilegierte Konten und Ressourcen zugreifen können, sondern nur noch, wenn sie diesen Zugriff für eine konkrete Aufgabe benötigen. Anstatt dauerhaften Always-on-Zugang zu gewähren, können Unternehmen das JIT-Konzept nutzen, um den Zugriff auf bestimmte Ressourcen auf einen bestimmten Zeitraum zu beschränken. Dieser granulare Ansatz vermindert das Missbrauchsrisiko, da er das Zeitfenster, das einem Cyber-Angreifer oder böswilligen Insider zur Verfügung steht, um sich Zugriff auf privilegierte Accounts zu verschaffen, erheblich verkürzt und damit laterale Bewegungen durch ein System und ein unbefugter Zugriff auf sensible Daten verhindert.
JIT-Zugriff kann als Möglichkeit zur Durchsetzung des Least-Privilege-Prinzips betrachtet werden, da sichergestellt wird, dass Benutzer und nicht menschliche Identitäten nur ein Mindestmaß an Privilegien erhalten. Darüber hinaus sorgt JIT-Zugriff dafür, dass privilegierte Aktivitäten immer nach den Richtlinien des Unternehmens für das Identity Access Management (IAM), das IT Service Management (ITSM) und das Privileged Access Management (PAM) zusammen mit den jeweiligen Berechtigungen und Arbeitsabläufen ausgeführt werden. Es ist wichtig, dass eine JIT-Zugriffsstrategie einem Unternehmen die Möglichkeit gibt, einen vollständigen Audit-Trail über die privilegierten Aktivitäten zu führen. Auf diese Weise können Unternehmen leicht feststellen, wer oder was Zugriff auf welche Systeme hatte und welche Vorgänge zu welcher Zeit und für wie lange erfolgt sind. Einige agentenbasierte Privileged-Access-Management-Lösungen bieten zusätzlich die Möglichkeit, Sessions aktiv zu überwachen und riskante privilegierte Sessions in Echtzeit zu beenden.
Arten von Just-in-Time-Zugriff
- Brokering und Entfernung des Zugriffs. Dieser Ansatz ermöglicht die Erstellung von Richtlinien, die von den Benutzern eine Rechtfertigung für die Verbindung mit einem bestimmten Ziel für eine bestimmte Dauer verlangen. In der Regel verfügen diese Benutzer über ein ständiges, privilegiertes gemeinsames Konto, wobei die Anmeldedaten für dieses Konto in einem zentralen Vault verwaltet, gesichert und rotiert werden.
- Kurzlebige Konten. Hierbei handelt es sich um Einwegkonten, die nach der Nutzung sofort gesperrt oder gelöscht werden.
- Vorübergehende Erweiterung. Dieser Ansatz ermöglicht die vorübergehende Erweiterung von Privilegien, sodass Benutzer nach Bedarf zeitlich befristet auf privilegierte Accounts zugreifen oder privilegierte Befehle ausführen können. Nach Ablauf der Zeit wird der Zugriff automatisch entfernt.
Einrichtung des Just-in-Time-Zugriffs
Nachfolgend wird ein typischer Ablauf für die Einrichtung des JIT-Zugriffs beschrieben. Beachten Sie dabei, dass die Benutzer zu Beginn keinen ständigen Zugriff, also standardmäßig keine Privilegien, haben:
- Ein menschlicher oder nicht menschlicher Benutzer fordert privilegierten Zugriff auf einen Server, eine virtuelle Maschine oder ein Netzwerkgerät an.
- Die Anforderung wird anhand einer Richtlinie für Vorabgenehmigungen oder von einem Administrator geprüft, der befugt ist, Anforderungen von kurzfristigem privilegiertem Zugriff zu gewähren oder abzulehnen. Dieser Genehmigungsprozess kann automatisiert werden, um Reibungsverluste für Endbenutzer und Operations-Teams zu verringern.
- Nach Erhalt der Genehmigung wird der Zugriff des menschlichen oder maschinellen Benutzers auf die Ebene erweitert, die für den Zugang zum System oder die Ausführung der jeweiligen Aufgabe nötig ist. Dieser Zugriff kann für wenige Minuten oder einige Monate gewährt werden, je nachdem, um welche Aufgabe(n) es sich handelt und was in den Governance-Richtlinien des Unternehmens festgelegt ist.
- Nach Abschluss der Aufgabe meldet sich der Benutzer ab, woraufhin sein Zugriff widerrufen oder entfernt wird, bis er ihn wieder benötigt.
Warum ist Just-in-Time-Zugriff wichtig für Ihr Unternehmen?
- Er hilft, Ihre Cyber-Sicherheitslage insgesamt zu verbessern, da die Gefahr von Missbrauch und lateralen Bewegungen durch böswillige Akteure deutlich gesenkt wird.
- Er hilft, die Arbeit des Administrators zu vereinfachen, da Prüfzyklen und Wartezeit überflüssig werden, während bestehende Arbeitsabläufe erhalten bleiben.
- Er hilft, die Compliance zu verbessern, und vereinfacht Audits, da die Anzahl der privilegierten Benutzer und Sessions minimiert und vollständige Audit-Trails aller privilegierten Aktivitäten erstellt werden.
Implementierung des Just-in-Time-Zugriffs in Ihrem Unternehmen
Zur Durchsetzung des Just-in-Time-Zugriffs ergreifen Unternehmen in der Regel einen oder mehrere dieser Schritte:
- Einrichtung eines ständigen, privilegierten gemeinsamen Kontos, dessen Anmeldedaten zentral verwaltet und regelmäßig rotiert werden.
- Erstellung granularer Richtlinien, die von den menschlichen und nicht menschlichen Benutzern eine Rechtfertigung für die Verbindung mit Zielsystemen und -anwendungen, die sensible Daten beinhalten, für eine bestimmte Dauer verlangen.
- Aufzeichnung und Prüfung privilegierter Aktivitäten aller kurzlebigen Konten und Definition von Warnungen und Maßnahmen zur Reaktion auf ungewöhnliches Verhalten oder ungewöhnliche Aktivitäten.
- Vorübergehende Erweiterung von Privilegien, um menschlichen und nicht menschlichen Benutzern den Zugriff auf bestimmte privilegierte Anmeldedaten und Accounts oder die Ausführung privilegierter Befehle zu ermöglichen.
Die Anwendung des Just-in-Time-Zugriffs zur Durchsetzung des Least-Privilege-Prinzips ist ein wichtiger Bestandteil von Zero Trust [link to glossary page]. Zero-Trust-Modelle sehen die Überprüfung sämtlicher Akteure und Prozesse vor, die eine Verbindung zu Systemen herstellen wollen. Im Zuge ihrer digitalen Transformation verwerfen viele Unternehmen ihre herkömmlichen Sicherheitskonzepte, die erst am Perimeter ansetzen, zugunsten eines allumfassenden Zero-Trust-Frameworks, um besonders sensible Informationen und Daten zu schützen.
