Παράλειψη στο κύριο περιεχόμενο

Πρόσβαση Just-in-Time

Η πρόσβαση Just-in-Time (JIT) χορηγεί προσωρινή, περιορισμένη πρόσβαση σε ένα Safe ή πόρο που λήγει αυτόματα. Το JIT είναι η συνιστώμενη προσέγγιση για την επιβολή πρόσβασης με ελάχιστα δικαιώματα: οι χρήστες δεν διατηρούν μόνιμη πρόσβαση σε ευαίσθητους πόρους· την ζητούν όταν τη χρειάζονται.

Γιατί η πρόσβαση JIT έχει σημασία

Η μόνιμη πρόσβαση (όπου ένας χρήστης έχει πάντα πρόσβαση σε ένα πόρο) αυξάνει το εύρος της ζημιάς από ένα συμβιβασμένο λογαριασμό. Η πρόσβαση JIT περιορίζει την έκθεση: εάν τα διαπιστευτήρια συμβιβαστούν, ο επιτιθέμενος έχει μόνο το χρονικό παράθυρο της χορήγησης.

Η πρόσβαση JIT δημιουργεί επίσης ένα ξεκάθαρο ίχνος ελέγχου: κάθε χορήγηση καταγράφεται με τον χρήστη που κάνει το αίτημα, τον εγκριτή, τη διάρκεια και τον πόρο.

Πώς να ζητήσετε πρόσβαση JIT (operator)

  1. Μεταβείτε στο Safes και βρείτε το Safe στο οποίο χρειάζεστε πρόσβαση.
  2. Εάν δεν βλέπετε το Safe, μπορεί να απαιτεί αίτημα JIT. Κάντε κλικ στο Request access στην κάρτα Safe.
  3. Εισάγετε το λόγο του αιτήματος και τη διάρκεια που χρειάζεστε (για παράδειγμα, 2 ώρες).
  4. Υποβάλετε το αίτημα. Εάν είναι διαμορφωμένη μια πολιτική έγκρισης, το αίτημά σας θα γίνει στον ορισμένο εγκριτή.
  5. Περιμένετε την έγκριση. Θα λάβετε ειδοποίηση όταν η πρόσβαση χορηγηθεί.
  6. Αποκτήστε πρόσβαση στο Safe και χρησιμοποιήστε τα διαπιστευτήρια ή εκκινήστε την περίοδο λειτουργίας εντός του παραθύρου χορήγησης.
  7. Η πρόσβασή σας λήγει αυτόματα στο τέλος της διάρκειας χορήγησης.

Κατάσταση επιτυχίας: Μπορείτε να αποκτήσετε πρόσβαση στο Safe και τους πόρους του για τη διάρκεια της χορήγησης. Μετά τη λήξη, η πρόσβασή σας αφαιρείται και το αρχείο ελέγχου καταγράφει το τέλος της χορήγησης.

Πώς να διαμορφώσετε πολιτικές JIT (admin)

  1. Μεταβείτε στο Policies > New policy.
  2. Ονομάστε την πολιτική και προσθέστε μια περιγραφή (για παράδειγμα, "JIT access -- Production DB").
  3. Ορίστε την Action σε Require approval.
  4. Στις JIT settings, ενεργοποιήστε το Automatic expiry και ορίστε τη μέγιστη διάρκεια χορήγησης.
  5. Αναθέστε την πολιτική στο στόχο Safe.
  6. Ενεργοποιήστε την πολιτική.

Κατάσταση επιτυχίας: Οι χρήστες χωρίς μόνιμη συμμετοχή στο Safe μπορούν τώρα να ζητήσουν προσωρινή πρόσβαση. Τα αιτήματα εμφανίζονται στην ουρά Approvals για τους ορισμένους εγκριτές.

Μέγιστη διάρκεια χορήγησης

Μπορείτε να διαμορφώσετε τη μέγιστη διάρκεια χορήγησης ανά πολιτική. Εάν ένας χρήστης ζητήσει διάρκεια μεγαλύτερη από τη μέγιστη, το αίτημα καλύπτεται αυτόματα στη διαμορφωμένη μέγιστη τιμή.

Συνιστώμενες μέγιστες τιμές ανά περίπτωση χρήσης:

Περίπτωση χρήσηςΣυνιστώμενη μέγιστη
Συνηθισμένη εργασία ops4 ώρες
Ανταπόκριση περιστατικού8 ώρες
Χρονικό παράθυρο συντήρησης12 ώρες
Ανασκόπηση ελέγχου (μόνο ανάγνωση)24 ώρες

Ίχνος ελέγχου για χορηγήσεις JIT

Κάθε γεγονός πρόσβασης JIT καταγράφεται στο αρχείο ελέγχου:

  • Access requested -- ποιος ζήτησε, ποιο Safe, ζητούμενη διάρκεια, λόγος
  • Approved ή Denied -- ποιος ενέκρινε/απέρριψε και πότε
  • Access granted -- ώρα έναρξης και ώρα λήξης
  • Access expired -- γεγονός συστήματος που επιβεβαιώνει την αφαίρεση χορήγησης

Δείτε Audit log για το πώς να αναζητήσετε και να εξάγετε αυτά τα γεγονότα.

Σχετικά άρθρα