Acces Just-in-Time
Accesul Just-in-Time (JIT) acordă acces temporar și delimitat la un Safe sau la o resursă care expiră automat. JIT este abordarea recomandată pentru aplicarea accesului cu privilegii minime: utilizatorii nu dețin acces permanent la resursele sensibile; îl solicită atunci când este necesar.
De ce contează accesul JIT
Accesul permanent (unde un utilizator are întotdeauna acces la o resursă) mărește raza de afectare a unui cont compromis. Accesul JIT limitează expunerea: dacă acreditările sunt compromise, atacatorul dispune doar de perioada acordului.
Accesul JIT creează, de asemenea, un traseu de audit clar: fiecare acord este înregistrat cu utilizatorul care solicită, aprobatorul, durata și resursa.
Cum se solicită acces JIT (operator)
- Accesați Safes și găsiți Safe-ul pentru care aveți nevoie de acces.
- Dacă nu vedeți Safe-ul, este posibil să necesite o cerere JIT. Faceți clic pe Request access pe cartela Safe.
- Introduceți motivul cererii și durata de care aveți nevoie (de exemplu, 2 ore).
- Trimiteți cererea. Dacă o politică de aprobare este configurată, cererea dvs. merge la aprobatorul desemnat.
- Așteptați aprobarea. Veți primi o notificare atunci când accesul este acordat.
- Accesați Safe-ul și utilizați acreditarea sau lansați sesiunea în perioada acordului.
- Accesul dvs. expiră automat la sfârșitul duratei acordului.
Stare de succes: Puteți accesa Safe-ul și resursele sale pentru durata acordului. După expirare, accesul dvs. este eliminat și jurnalul de audit înregistrează sfârșitul acordului.
Cum se configurează politicile JIT (admin)
- Accesați Policies > New policy.
- Denumiți politica și adăugați o descriere (de exemplu, "JIT access -- Production DB").
- Setați Action la Require approval.
- Sub JIT settings, activați Automatic expiry și setați durata maximă a acordului.
- Atribuiți politica la Safe-ul țintă.
- Activați politica.
Stare de succes: Utilizatorii fără participare permanentă în Safe pot acum solicita acces temporar. Cererile apar în coada Approvals pentru aprobatorii desemnați.
Durata maximă a acordului
Puteți configura durata maximă a acordului pe politică. Dacă un utilizator solicită o durată mai lungă decât maximul, cererea este limită automat la maximul configurat.
Maxime recomandate după caz de utilizare:
| Caz de utilizare | Maxim recomandat |
|---|---|
| Sarcină de operații obișnuite | 4 ore |
| Răspuns la incident | 8 ore |
| Fereastra de întreținere | 12 ore |
| Revizuire de audit (doar citire) | 24 ore |
Traseu de audit pentru acorduri JIT
Fiecare eveniment de acces JIT este înregistrat în jurnalul de audit:
- Access requested -- cine a solicitat, care Safe, durata solicitată, motivul
- Approved sau Denied -- cine a aprobat/respins și când
- Access granted -- ora de început și ora de expirare
- Access expired -- eveniment de sistem care confirmă eliminarea acordului
Consultați Audit log pentru cum să căutați și exportați aceste evenimente.