Mergeți la conținutul principal

Acces Just-in-Time

Accesul Just-in-Time (JIT) acordă acces temporar și delimitat la un Safe sau la o resursă care expiră automat. JIT este abordarea recomandată pentru aplicarea accesului cu privilegii minime: utilizatorii nu dețin acces permanent la resursele sensibile; îl solicită atunci când este necesar.

De ce contează accesul JIT

Accesul permanent (unde un utilizator are întotdeauna acces la o resursă) mărește raza de afectare a unui cont compromis. Accesul JIT limitează expunerea: dacă acreditările sunt compromise, atacatorul dispune doar de perioada acordului.

Accesul JIT creează, de asemenea, un traseu de audit clar: fiecare acord este înregistrat cu utilizatorul care solicită, aprobatorul, durata și resursa.

Cum se solicită acces JIT (operator)

  1. Accesați Safes și găsiți Safe-ul pentru care aveți nevoie de acces.
  2. Dacă nu vedeți Safe-ul, este posibil să necesite o cerere JIT. Faceți clic pe Request access pe cartela Safe.
  3. Introduceți motivul cererii și durata de care aveți nevoie (de exemplu, 2 ore).
  4. Trimiteți cererea. Dacă o politică de aprobare este configurată, cererea dvs. merge la aprobatorul desemnat.
  5. Așteptați aprobarea. Veți primi o notificare atunci când accesul este acordat.
  6. Accesați Safe-ul și utilizați acreditarea sau lansați sesiunea în perioada acordului.
  7. Accesul dvs. expiră automat la sfârșitul duratei acordului.

Stare de succes: Puteți accesa Safe-ul și resursele sale pentru durata acordului. După expirare, accesul dvs. este eliminat și jurnalul de audit înregistrează sfârșitul acordului.

Cum se configurează politicile JIT (admin)

  1. Accesați Policies > New policy.
  2. Denumiți politica și adăugați o descriere (de exemplu, "JIT access -- Production DB").
  3. Setați Action la Require approval.
  4. Sub JIT settings, activați Automatic expiry și setați durata maximă a acordului.
  5. Atribuiți politica la Safe-ul țintă.
  6. Activați politica.

Stare de succes: Utilizatorii fără participare permanentă în Safe pot acum solicita acces temporar. Cererile apar în coada Approvals pentru aprobatorii desemnați.

Durata maximă a acordului

Puteți configura durata maximă a acordului pe politică. Dacă un utilizator solicită o durată mai lungă decât maximul, cererea este limită automat la maximul configurat.

Maxime recomandate după caz de utilizare:

Caz de utilizareMaxim recomandat
Sarcină de operații obișnuite4 ore
Răspuns la incident8 ore
Fereastra de întreținere12 ore
Revizuire de audit (doar citire)24 ore

Traseu de audit pentru acorduri JIT

Fiecare eveniment de acces JIT este înregistrat în jurnalul de audit:

  • Access requested -- cine a solicitat, care Safe, durata solicitată, motivul
  • Approved sau Denied -- cine a aprobat/respins și când
  • Access granted -- ora de început și ora de expirare
  • Access expired -- eveniment de sistem care confirmă eliminarea acordului

Consultați Audit log pentru cum să căutați și exportați aceste evenimente.

Articole conexe