Accesso Just-in-Time
L'accesso Just-in-Time (JIT) concede accesso temporaneo e limitato a un Safe o risorsa che scade automaticamente. JIT è l'approccio consigliato per applicare l'accesso con privilegi minimi: gli utenti non mantengono accesso permanente alle risorse sensibili; lo richiedono quando necessario.
Perché l'accesso JIT è importante
L'accesso permanente (dove un utente ha sempre accesso a una risorsa) aumenta il raggio di danno di un account compromesso. L'accesso JIT limita l'esposizione: se le credenziali vengono compromesse, l'utente malintenzionato ha accesso solo durante la finestra temporale della concessione.
L'accesso JIT crea anche un chiaro tracciamento di audit: ogni concessione viene registrata con l'utente richiedente, l'approvatore, la durata e la risorsa.
Come richiedere accesso JIT (operator)
- Vai a Safes e trova il Safe a cui hai bisogno di accedere.
- Se non visualizzi il Safe, potrebbe richiedere una richiesta JIT. Fai clic su Request access sulla scheda Safe.
- Inserisci il motivo della richiesta e la durata di cui hai bisogno (ad esempio, 2 ore).
- Invia la richiesta. Se è configurata una policy di approvazione, la tua richiesta va all'approvatore designato.
- Attendi l'approvazione. Riceverai una notifica quando l'accesso sarà concesso.
- Accedi al Safe e utilizza la credenziale o avvia la sessione durante la finestra di concessione.
- Il tuo accesso scade automaticamente alla fine della durata della concessione.
Stato di successo: Puoi accedere al Safe e alle sue risorse per la durata della concessione. Dopo la scadenza, il tuo accesso viene rimosso e il registro di audit registra la fine della concessione.
Come configurare policy JIT (admin)
- Vai a Policies > New policy.
- Assegna un nome alla policy e aggiungi una descrizione (ad esempio, "JIT access -- Production DB").
- Imposta l'Action su Require approval.
- Sotto JIT settings, abilita Automatic expiry e imposta la durata massima della concessione.
- Assegna la policy al Safe di destinazione.
- Attiva la policy.
Stato di successo: Gli utenti senza appartenenza permanente al Safe possono ora richiedere accesso temporaneo. Le richieste vengono visualizzate nella coda Approvals per gli approvatori designati.
Durata massima della concessione
Puoi configurare la durata massima della concessione per policy. Se un utente richiede una durata più lunga del massimo, la richiesta viene automaticamente limitata al massimo configurato.
Massimi consigliati per caso d'uso:
| Caso d'uso | Massimo consigliato |
|---|---|
| Attività di operazioni routinarie | 4 ore |
| Risposta agli incidenti | 8 ore |
| Finestra di manutenzione | 12 ore |
| Revisione di audit (sola lettura) | 24 ore |
Tracciamento di audit per concessioni JIT
Ogni evento di accesso JIT viene registrato nel registro di audit:
- Access requested -- chi ha richiesto, quale Safe, durata richiesta, motivo
- Approved o Denied -- chi ha approvato/rifiutato e quando
- Access granted -- ora di inizio e ora di scadenza
- Access expired -- evento di sistema che conferma la rimozione della concessione
Consulta Audit log per informazioni su come cercare ed esportare questi eventi.