Dostęp just-in-time
Dostęp just-in-time (JIT) przyznaje tymczasowy, ograniczony dostęp do sejfu lub zasobu, który wygasa automatycznie. JIT to zalecane podejście do wymuszania zasady minimalnych uprawnień: użytkownicy nie posiadają stałego dostępu do wrażliwych zasobów; żądają go w razie potrzeby.
Dlaczego dostęp JIT ma znaczenie
Stały dostęp (gdy użytkownik zawsze ma dostęp do zasobu) zwiększa zasięg potencjalnych szkód w przypadku przejęcia konta. Dostęp JIT ogranicza ekspozycję: jeśli poświadczenia zostaną przejęte, atakujący dysponuje wyłącznie oknem czasowym przyznanego dostępu.
Dostęp JIT tworzy również jednoznaczną ścieżkę audytu: każde przyznanie jest rejestrowane wraz z użytkownikiem żądającym, osobą zatwierdzającą, czasem trwania oraz zasobem.
Jak zażądać dostępu JIT (operator)
- Przejdź do sekcji Sejfy i znajdź sejf, do którego potrzebujesz dostępu.
- Jeśli nie widzisz sejfu, może on wymagać żądania JIT. Kliknij Zażądaj dostępu na karcie sejfu.
- Wprowadź powód żądania oraz potrzebny czas trwania (na przykład 2 godziny).
- Prześlij żądanie. Jeśli skonfigurowano politykę zatwierdzania, Twoje żądanie trafia do wyznaczonej osoby zatwierdzającej.
- Poczekaj na zatwierdzenie. Otrzymasz powiadomienie, gdy dostęp zostanie przyznany.
- Uzyskaj dostęp do sejfu i skorzystaj z poświadczenia lub uruchom sesję w oknie przyznanego dostępu.
- Twój dostęp wygasa automatycznie po upływie czasu trwania przyznania.
Stan docelowy: Możesz uzyskać dostęp do sejfu i jego zasobów przez czas trwania przyznania. Po wygaśnięciu Twój dostęp zostaje usunięty, a dziennik audytu rejestruje zakończenie przyznania.
Jak skonfigurować polityki JIT (admin)
- Przejdź do sekcji Polityki > Nowa polityka.
- Nazwij politykę i dodaj opis (na przykład „Dostęp JIT -- Produkcyjna baza danych”).
- Ustaw Działanie na Wymagaj zatwierdzenia.
- W sekcji Ustawienia JIT włącz Automatyczne wygaśnięcie i ustaw maksymalny czas trwania przyznania.
- Przypisz politykę do docelowego sejfu.
- Aktywuj politykę.
Stan docelowy: Użytkownicy bez stałego członkostwa w sejfie mogą teraz żądać tymczasowego dostępu. Żądania pojawiają się w kolejce Zatwierdzenia dla wyznaczonych osób zatwierdzających.
Maksymalny czas trwania przyznania
Maksymalny czas trwania przyznania możesz skonfigurować dla każdej polityki. Jeśli użytkownik zażąda czasu trwania dłuższego niż maksymalny, żądanie zostaje automatycznie ograniczone do skonfigurowanej wartości maksymalnej.
Zalecane wartości maksymalne według przypadku użycia:
| Przypadek użycia | Zalecana wartość maksymalna |
|---|---|
| Rutynowe zadanie operacyjne | 4 godziny |
| Reagowanie na incydenty | 8 godzin |
| Okno serwisowe | 12 godzin |
| Przegląd audytowy (tylko do odczytu) | 24 godziny |
Ścieżka audytu dla przyznań JIT
Każde zdarzenie dostępu JIT jest rejestrowane w dzienniku audytu:
- Zażądano dostępu -- kto zażądał, którego sejfu dotyczy, żądany czas trwania, powód
- Zatwierdzono lub Odrzucono -- kto zatwierdził/odrzucił i kiedy
- Przyznano dostęp -- czas rozpoczęcia i czas wygaśnięcia
- Dostęp wygasł -- zdarzenie systemowe potwierdzające usunięcie przyznania
Zobacz Dziennik audytu, aby dowiedzieć się, jak wyszukiwać i eksportować te zdarzenia.