Vai al contenuto principale

Accesso Just-in-Time

L'accesso Just-in-Time (JIT) concede accesso temporaneo e limitato a un Safe o risorsa che scade automaticamente. JIT è l'approccio consigliato per applicare l'accesso con privilegi minimi: gli utenti non mantengono accesso permanente alle risorse sensibili; lo richiedono quando necessario.

Perché l'accesso JIT è importante

L'accesso permanente (dove un utente ha sempre accesso a una risorsa) aumenta il raggio di danno di un account compromesso. L'accesso JIT limita l'esposizione: se le credenziali vengono compromesse, l'utente malintenzionato ha accesso solo durante la finestra temporale della concessione.

L'accesso JIT crea anche un chiaro tracciamento di audit: ogni concessione viene registrata con l'utente richiedente, l'approvatore, la durata e la risorsa.

Come richiedere accesso JIT (operator)

  1. Vai a Safes e trova il Safe a cui hai bisogno di accedere.
  2. Se non visualizzi il Safe, potrebbe richiedere una richiesta JIT. Fai clic su Request access sulla scheda Safe.
  3. Inserisci il motivo della richiesta e la durata di cui hai bisogno (ad esempio, 2 ore).
  4. Invia la richiesta. Se è configurata una policy di approvazione, la tua richiesta va all'approvatore designato.
  5. Attendi l'approvazione. Riceverai una notifica quando l'accesso sarà concesso.
  6. Accedi al Safe e utilizza la credenziale o avvia la sessione durante la finestra di concessione.
  7. Il tuo accesso scade automaticamente alla fine della durata della concessione.

Stato di successo: Puoi accedere al Safe e alle sue risorse per la durata della concessione. Dopo la scadenza, il tuo accesso viene rimosso e il registro di audit registra la fine della concessione.

Come configurare policy JIT (admin)

  1. Vai a Policies > New policy.
  2. Assegna un nome alla policy e aggiungi una descrizione (ad esempio, "JIT access -- Production DB").
  3. Imposta l'Action su Require approval.
  4. Sotto JIT settings, abilita Automatic expiry e imposta la durata massima della concessione.
  5. Assegna la policy al Safe di destinazione.
  6. Attiva la policy.

Stato di successo: Gli utenti senza appartenenza permanente al Safe possono ora richiedere accesso temporaneo. Le richieste vengono visualizzate nella coda Approvals per gli approvatori designati.

Durata massima della concessione

Puoi configurare la durata massima della concessione per policy. Se un utente richiede una durata più lunga del massimo, la richiesta viene automaticamente limitata al massimo configurato.

Massimi consigliati per caso d'uso:

Caso d'usoMassimo consigliato
Attività di operazioni routinarie4 ore
Risposta agli incidenti8 ore
Finestra di manutenzione12 ore
Revisione di audit (sola lettura)24 ore

Tracciamento di audit per concessioni JIT

Ogni evento di accesso JIT viene registrato nel registro di audit:

  • Access requested -- chi ha richiesto, quale Safe, durata richiesta, motivo
  • Approved o Denied -- chi ha approvato/rifiutato e quando
  • Access granted -- ora di inizio e ora di scadenza
  • Access expired -- evento di sistema che conferma la rimozione della concessione

Consulta Audit log per informazioni su come cercare ed esportare questi eventi.

Articoli correlati