使用即时(JIT)访问方法,组织可以实时提升人员和非人类用户的权限,以提供对应用程序或系统的升级或细粒度升级访问权限,以便他们执行必要任务。网络安全行业分析师建议将JIT访问作为一种通过尽量减少常规访问来配置安全特权访问的方法。
JIT访问可帮助组织配置访问权限,以便用户仅在需要访问特权帐户和资源时才有权进行访问,在其他情况下则无权访问。组织可以授予JIT访问权限,以在特定时间范围内限制对特定资源的访问,而不是授予始终在线(或常规)访问(或常规访问)。这种细粒度方法显著减少了网络攻击者或恶意内部人员在横向移动通过系统并获得对敏感数据的未授权访问之前对访问特权帐户的时间,从而降低了特权帐户滥用的风险。
JIT访问可以看作是一种强制执行最小特权原则以确保为用户和非人类身份提供最低权限等级的方法。这一做法还可以确保特权活动是根据组织的身份访问管理(IAM)、IT服务管理(ITSM)和特权访问管理(PAM)策略以及其权利和工作流进行的。JIT访问策略的关键在于它必须使组织能够保持特权活动的完整审核记录。如此一来,组织可以轻松地确定谁访问了哪些系统,他们在什么时间做了什么并持续了多久。一些基于代理的特权访问管理解决方案还为组织提供了主动监视会话并实时终止有风险特权会话的额外功能。
即时访问类型
- 代理并删除访问权限。 通过这种方法可以创建要求用户提供在合理的时间内连接到特定目标的理由的策略。通常,这些用户具有常设特权共享帐户,并且该帐户的凭据在中央保管库中进行管理、保护和轮换。
- 临时帐户。 这些是即时创建的一次性帐户,在使用后将立即取消配置或删除。
- 临时升级。这种方法允许临时提升权限,使用户可以按请求(按时间)访问特权帐户或运行特权命令。时间结束时访问将被删除。
如何启用即时访问
以下是启用JIT访问的典型工作流程。请记住,用户在开始时拥有零常设访问权限,即默认没有特权:
- 人类或非人类用户请求对服务器、虚拟机或网络设备的特权访问。
- 该请求根据预批准策略进行验证,或者由有权授予或拒绝短期特权访问请求的管理员进行审核。该批准过程可以自动化,以减少最终用户和运营团队的摩擦。
- 获得批准后,人员或机器用户的权限将提升至能够进入系统并执行特定任务。这种访问只能持续几分钟或几个月,具体取决于用户的特定任务和组织的管理策略。
- 任务完成后,用户将注销,其访问权限将被撤销或删除,直到再次需要为止。
即时访问对您组织的重要性
- 它显著降低了威胁来源的特权访问滥用和横向移动的风险,帮助组织改善整体网络安全状况。
- 它消除了审核周期和等待时间,同时仍保持当前的工作流程,从而简化了管理员体验。
- 它尽量减少了特权用户和特权会话的数量,并提供所有特权活动的完整审计跟踪,有助于提高合规性并简化审计。
如何在组织中实施即时访问
若要实施即时访问,组织通常采取以下一个或几个步骤:
- 使用集中管理并定期轮换的凭据维护一个常设的特权共享帐户。
- 创建细粒度的策略,要求人类和非人类用户在特定时间段内提供特定的理由来连接到包含敏感数据的目标系统和应用程序。
- 记录和审核所有临时帐户中的特权活动,并启用对异常行为或活动的警报和响应。
- 启用临时特权提升,允许人类用户和非人类用户访问特定的特权凭据和帐户或运行特权命令。
使用即时访问来强制执行最小权限特原则是“零信任”的重要组成部分[链接到术语页面]。零信任模型要求组织在授予访问权限之前验证试图连接到系统的任何事物。随着许多组织加快其数字化转型策略的步伐 ,他们正在从传统的外围安全方法转向零信任框架,以保护其最敏感的信息和数据。
