Just-in-Time-Zugriff
Just-in-Time-Zugriff (JIT) gewährt temporären, eingegrenzten Zugriff auf einen Safe oder eine Ressource, der automatisch abläuft. JIT ist der empfohlene Ansatz, um die minimale Rechtevergabe durchzusetzen: Benutzer halten keinen ständigen Zugriff auf sensible Ressourcen; sie fordern ihn bei Bedarf an.
Warum JIT-Zugriff wichtig ist
Ständiger Zugriff (bei dem ein Benutzer immer Zugriff auf eine Ressource hat) vergrößert den Wirkungsradius eines kompromittierten Kontos. JIT-Zugriff begrenzt die Exposition: Wenn Anmeldeinformationen kompromittiert werden, hat der Angreifer nur das Zeitfenster der Berechtigung zur Verfügung.
JIT-Zugriff schafft außerdem einen klaren Prüfpfad: Jede Berechtigung wird mit dem anfordernden Benutzer, dem Genehmiger, der Dauer und der Ressource protokolliert.
So fordern Sie JIT-Zugriff an (Operator)
- Gehen Sie zu Safes und suchen Sie den Safe, auf den Sie Zugriff benötigen.
- Wenn Sie den Safe nicht sehen, erfordert er möglicherweise eine JIT-Anfrage. Klicken Sie auf der Safe-Karte auf Zugriff anfordern.
- Geben Sie den Grund für die Anfrage und die benötigte Dauer ein (zum Beispiel 2 Stunden).
- Reichen Sie die Anfrage ein. Wenn eine Genehmigungsrichtlinie konfiguriert ist, wird Ihre Anfrage an den festgelegten Genehmiger weitergeleitet.
- Warten Sie auf die Genehmigung. Sie erhalten eine Benachrichtigung, sobald der Zugriff gewährt wurde.
- Greifen Sie auf den Safe zu und verwenden Sie die Anmeldeinformation oder starten Sie die Sitzung innerhalb des Berechtigungsfensters.
- Ihr Zugriff läuft am Ende der Berechtigungsdauer automatisch ab.
Erfolgszustand: Sie können für die Dauer der Berechtigung auf den Safe und seine Ressourcen zugreifen. Nach Ablauf wird Ihr Zugriff entfernt und das Prüfprotokoll erfasst das Ende der Berechtigung.
So konfigurieren Sie JIT-Richtlinien (Admin)
- Gehen Sie zu Richtlinien > Neue Richtlinie.
- Benennen Sie die Richtlinie und fügen Sie eine Beschreibung hinzu (zum Beispiel „JIT-Zugriff -- Produktions-DB“).
- Setzen Sie die Aktion auf Genehmigung erforderlich.
- Aktivieren Sie unter JIT-Einstellungen die Option Automatischer Ablauf und legen Sie die maximale Berechtigungsdauer fest.
- Weisen Sie die Richtlinie dem Ziel-Safe zu.
- Aktivieren Sie die Richtlinie.
Erfolgszustand: Benutzer ohne ständige Mitgliedschaft im Safe können nun temporären Zugriff anfordern. Anfragen erscheinen in der Warteschlange Genehmigungen für die festgelegten Genehmiger.
Maximale Berechtigungsdauer
Sie können die maximale Berechtigungsdauer pro Richtlinie konfigurieren. Wenn ein Benutzer eine längere Dauer als das Maximum anfordert, wird die Anfrage automatisch auf das konfigurierte Maximum begrenzt.
Empfohlene Maximalwerte nach Anwendungsfall:
| Anwendungsfall | Empfohlenes Maximum |
|---|---|
| Routinemäßige Betriebsaufgabe | 4 Stunden |
| Vorfallreaktion | 8 Stunden |
| Wartungsfenster | 12 Stunden |
| Audit-Prüfung (schreibgeschützt) | 24 Stunden |
Prüfpfad für JIT-Berechtigungen
Jedes JIT-Zugriffsereignis wird im Prüfprotokoll erfasst:
- Zugriff angefordert -- wer angefordert hat, welcher Safe, angeforderte Dauer, Grund
- Genehmigt oder Abgelehnt -- wer genehmigt/abgelehnt hat und wann
- Zugriff gewährt -- Startzeit und Ablaufzeit
- Zugriff abgelaufen -- Systemereignis, das die Entfernung der Berechtigung bestätigt
Siehe Prüfprotokoll für die Suche und den Export dieser Ereignisse.