Przejdź do głównej zawartości

Dostęp just-in-time

Dostęp just-in-time (JIT) przyznaje tymczasowy, ograniczony dostęp do sejfu lub zasobu, który wygasa automatycznie. JIT to zalecane podejście do wymuszania zasady minimalnych uprawnień: użytkownicy nie posiadają stałego dostępu do wrażliwych zasobów; żądają go w razie potrzeby.

Dlaczego dostęp JIT ma znaczenie

Stały dostęp (gdy użytkownik zawsze ma dostęp do zasobu) zwiększa zasięg potencjalnych szkód w przypadku przejęcia konta. Dostęp JIT ogranicza ekspozycję: jeśli poświadczenia zostaną przejęte, atakujący dysponuje wyłącznie oknem czasowym przyznanego dostępu.

Dostęp JIT tworzy również jednoznaczną ścieżkę audytu: każde przyznanie jest rejestrowane wraz z użytkownikiem żądającym, osobą zatwierdzającą, czasem trwania oraz zasobem.

Jak zażądać dostępu JIT (operator)

  1. Przejdź do sekcji Sejfy i znajdź sejf, do którego potrzebujesz dostępu.
  2. Jeśli nie widzisz sejfu, może on wymagać żądania JIT. Kliknij Zażądaj dostępu na karcie sejfu.
  3. Wprowadź powód żądania oraz potrzebny czas trwania (na przykład 2 godziny).
  4. Prześlij żądanie. Jeśli skonfigurowano politykę zatwierdzania, Twoje żądanie trafia do wyznaczonej osoby zatwierdzającej.
  5. Poczekaj na zatwierdzenie. Otrzymasz powiadomienie, gdy dostęp zostanie przyznany.
  6. Uzyskaj dostęp do sejfu i skorzystaj z poświadczenia lub uruchom sesję w oknie przyznanego dostępu.
  7. Twój dostęp wygasa automatycznie po upływie czasu trwania przyznania.

Stan docelowy: Możesz uzyskać dostęp do sejfu i jego zasobów przez czas trwania przyznania. Po wygaśnięciu Twój dostęp zostaje usunięty, a dziennik audytu rejestruje zakończenie przyznania.

Jak skonfigurować polityki JIT (admin)

  1. Przejdź do sekcji Polityki > Nowa polityka.
  2. Nazwij politykę i dodaj opis (na przykład „Dostęp JIT -- Produkcyjna baza danych”).
  3. Ustaw Działanie na Wymagaj zatwierdzenia.
  4. W sekcji Ustawienia JIT włącz Automatyczne wygaśnięcie i ustaw maksymalny czas trwania przyznania.
  5. Przypisz politykę do docelowego sejfu.
  6. Aktywuj politykę.

Stan docelowy: Użytkownicy bez stałego członkostwa w sejfie mogą teraz żądać tymczasowego dostępu. Żądania pojawiają się w kolejce Zatwierdzenia dla wyznaczonych osób zatwierdzających.

Maksymalny czas trwania przyznania

Maksymalny czas trwania przyznania możesz skonfigurować dla każdej polityki. Jeśli użytkownik zażąda czasu trwania dłuższego niż maksymalny, żądanie zostaje automatycznie ograniczone do skonfigurowanej wartości maksymalnej.

Zalecane wartości maksymalne według przypadku użycia:

Przypadek użyciaZalecana wartość maksymalna
Rutynowe zadanie operacyjne4 godziny
Reagowanie na incydenty8 godzin
Okno serwisowe12 godzin
Przegląd audytowy (tylko do odczytu)24 godziny

Ścieżka audytu dla przyznań JIT

Każde zdarzenie dostępu JIT jest rejestrowane w dzienniku audytu:

  • Zażądano dostępu -- kto zażądał, którego sejfu dotyczy, żądany czas trwania, powód
  • Zatwierdzono lub Odrzucono -- kto zatwierdził/odrzucił i kiedy
  • Przyznano dostęp -- czas rozpoczęcia i czas wygaśnięcia
  • Dostęp wygasł -- zdarzenie systemowe potwierdzające usunięcie przyznania

Zobacz Dziennik audytu, aby dowiedzieć się, jak wyszukiwać i eksportować te zdarzenia.

Powiązane artykuły