利用即時(JIT)存取方法,組織可即時升級人類及非人類用戶的權限,提供針對某個應用程式或系統級別更高且分層分級的特權存取,以便執行必要的任務。資安產業分析師建議使用JIT存取 ,以儘可能減少常規存取的方式提供安全的特權存取。
JIT存取有助於組織設置存取權限,讓用戶僅在需要存取特權帳號與資源時擁有存取該特權帳號與資源的特權,在其他情時候則無權存取。組織可授予JIT存取權限,限定在特定時限內存取特定資源,而非授予始終有效(或常規)的存取權(或常規存取權)。這種分層分級的做法可顯著縮短網路攻擊者或惡意內部人員持有特權帳號的時間,以避免他們在系統內橫向移動及未經授權存取敏感資料。
JIT存取可視為一種強制執行 最小特權原則 方式,以確保授予用戶及非人類身份最低級別的特權。JIT存取也可確保特權活動根據組織的身份存取管理(IAM)、IT服務管理(ITSM)和特權存取管理(PAM) 政策以及其權利與工作流程進行。任何JIT存取策略必須能夠讓組織維持特權活動的完整稽核記錄,這一點至關重要。如此一來,組織可以輕易確定何人或何者存取了哪些系統、他們在何時執行何事長達多久。有些以代理程式為基礎的特權存取管理解決方案還可為組織提供 主動監控連線 的額外功能及即時終止危險的特權連線。
即時存取類型
- 中介及移除存取。 此方法可建立政策,要求用戶提供在預定時間連線特定目標的理由。這些用戶通常持有常規特權共享帳號,而該帳號的憑證被置於中央保管庫內進行管理、保護及輪換。
- 臨時帳號。 這些帳號是臨時建立的一次性帳號,使用後將立即取消配置或刪除。
- 暫時升級。 此方法可暫時升級特權,根據要求讓用戶限時存取特權帳號或執行特權命令。時限一到,存取權便會被刪除。
如何啟用即時存取
以下是啟用JIT存取的典型工作流程。請記住,這些用戶開始時未具備常規存取權 – 即預設為無特權:
- 人類或非人類用戶要求對伺服器、虛擬機器或網路裝置的特權存取。
- 根據預先核准的政策對該要求進行驗證,或由有權授予或否決短期特權存取要求的管理員審核該要求。核准過程可採自動化進行,以減少最終用戶與營運團隊的摩擦。
- 獲核准之後,人類或機器用戶將升級至進入系統及執行其指定任務所需的存取權限。該存取權限只能維持數分鐘或數月,取決於用戶的指定任務及組織的治理政策。
- 任務完成後,用戶登出,其存取權限被撤銷或刪除,直到再次需要它為止。
為何即時存取對您的組織很重要?
- 它可透過顯著降低威脅發動者濫用特權存取及橫向移動的風險,協助組織改善整體資安態勢。
- 維持當前工作流程,但省去審查週期及等待時間的需要,進而簡化管理員體驗。
- 儘可能減少特權用戶及特權連線數量及提供所有特權活動的完整稽核記錄,有助於改進合規性及簡化稽核。
如何在組織內實施即時存取
為實施即時存取,組織通常採取以下一項或多項措施:
- 維持常規的特權共享帳號,並 集中管理 及定期輪換其憑證。
- 建立分層分級政策,要求人類及非人類用戶在特定時間內提供連線至內含敏感資料之目標系統及應用程式的具體理由。
- 記錄及稽核所有臨時帳號的特權活動,並對異常行為或活動發出警報及回應。
- 支援特權的臨時升級,允許人類及非人類用戶存取特定的特權憑證及帳號或執行特權命令。
使用即時存取來強制執行最小特權原則 是零信任 [詞彙表頁面連結]的重要組成部份。零信任模型要求組織在授予存取權限之前驗證試圖連線至系統的任何人事物。隨著許多組織加速執行數位化轉型 策略,他們已從傳統的外圍邊界安全方法轉向零信任框架,以保護其最敏感的資訊及數據。