Zum Hauptinhalt springen

Just-in-Time-Zugriff

Just-in-Time-Zugriff (JIT) gewährt temporären, eingegrenzten Zugriff auf einen Safe oder eine Ressource, der automatisch abläuft. JIT ist der empfohlene Ansatz, um die minimale Rechtevergabe durchzusetzen: Benutzer halten keinen ständigen Zugriff auf sensible Ressourcen; sie fordern ihn bei Bedarf an.

Warum JIT-Zugriff wichtig ist

Ständiger Zugriff (bei dem ein Benutzer immer Zugriff auf eine Ressource hat) vergrößert den Wirkungsradius eines kompromittierten Kontos. JIT-Zugriff begrenzt die Exposition: Wenn Anmeldeinformationen kompromittiert werden, hat der Angreifer nur das Zeitfenster der Berechtigung zur Verfügung.

JIT-Zugriff schafft außerdem einen klaren Prüfpfad: Jede Berechtigung wird mit dem anfordernden Benutzer, dem Genehmiger, der Dauer und der Ressource protokolliert.

So fordern Sie JIT-Zugriff an (Operator)

  1. Gehen Sie zu Safes und suchen Sie den Safe, auf den Sie Zugriff benötigen.
  2. Wenn Sie den Safe nicht sehen, erfordert er möglicherweise eine JIT-Anfrage. Klicken Sie auf der Safe-Karte auf Zugriff anfordern.
  3. Geben Sie den Grund für die Anfrage und die benötigte Dauer ein (zum Beispiel 2 Stunden).
  4. Reichen Sie die Anfrage ein. Wenn eine Genehmigungsrichtlinie konfiguriert ist, wird Ihre Anfrage an den festgelegten Genehmiger weitergeleitet.
  5. Warten Sie auf die Genehmigung. Sie erhalten eine Benachrichtigung, sobald der Zugriff gewährt wurde.
  6. Greifen Sie auf den Safe zu und verwenden Sie die Anmeldeinformation oder starten Sie die Sitzung innerhalb des Berechtigungsfensters.
  7. Ihr Zugriff läuft am Ende der Berechtigungsdauer automatisch ab.

Erfolgszustand: Sie können für die Dauer der Berechtigung auf den Safe und seine Ressourcen zugreifen. Nach Ablauf wird Ihr Zugriff entfernt und das Prüfprotokoll erfasst das Ende der Berechtigung.

So konfigurieren Sie JIT-Richtlinien (Admin)

  1. Gehen Sie zu Richtlinien > Neue Richtlinie.
  2. Benennen Sie die Richtlinie und fügen Sie eine Beschreibung hinzu (zum Beispiel „JIT-Zugriff -- Produktions-DB“).
  3. Setzen Sie die Aktion auf Genehmigung erforderlich.
  4. Aktivieren Sie unter JIT-Einstellungen die Option Automatischer Ablauf und legen Sie die maximale Berechtigungsdauer fest.
  5. Weisen Sie die Richtlinie dem Ziel-Safe zu.
  6. Aktivieren Sie die Richtlinie.

Erfolgszustand: Benutzer ohne ständige Mitgliedschaft im Safe können nun temporären Zugriff anfordern. Anfragen erscheinen in der Warteschlange Genehmigungen für die festgelegten Genehmiger.

Maximale Berechtigungsdauer

Sie können die maximale Berechtigungsdauer pro Richtlinie konfigurieren. Wenn ein Benutzer eine längere Dauer als das Maximum anfordert, wird die Anfrage automatisch auf das konfigurierte Maximum begrenzt.

Empfohlene Maximalwerte nach Anwendungsfall:

AnwendungsfallEmpfohlenes Maximum
Routinemäßige Betriebsaufgabe4 Stunden
Vorfallreaktion8 Stunden
Wartungsfenster12 Stunden
Audit-Prüfung (schreibgeschützt)24 Stunden

Prüfpfad für JIT-Berechtigungen

Jedes JIT-Zugriffsereignis wird im Prüfprotokoll erfasst:

  • Zugriff angefordert -- wer angefordert hat, welcher Safe, angeforderte Dauer, Grund
  • Genehmigt oder Abgelehnt -- wer genehmigt/abgelehnt hat und wann
  • Zugriff gewährt -- Startzeit und Ablaufzeit
  • Zugriff abgelaufen -- Systemereignis, das die Entfernung der Berechtigung bestätigt

Siehe Prüfprotokoll für die Suche und den Export dieser Ereignisse.

Verwandte Artikel