Acceso Just-in-Time
El acceso Just-in-Time (JIT) otorga acceso temporal y limitado a un Safe o recurso que expira automáticamente. JIT es el enfoque recomendado para aplicar privilegios mínimos: los usuarios no tienen acceso permanente a recursos sensibles; lo solicitan cuando lo necesitan.
Por qué el acceso JIT es importante
El acceso permanente (donde un usuario siempre tiene acceso a un recurso) aumenta el radio de explosión de una cuenta comprometida. El acceso JIT limita la exposición: si las credenciales se ven comprometidas, el atacante solo tiene la ventana de tiempo de la concesión.
El acceso JIT también crea un rastro de auditoría claro: cada concesión se registra con el usuario solicitante, el aprobador, la duración y el recurso.
Cómo solicitar acceso JIT (operador)
- Vaya a Safes y encuentre el Safe al que necesita acceso.
- Si no ve el Safe, puede requerir una solicitud JIT. Haga clic en Request access en la tarjeta del Safe.
- Ingrese el motivo de la solicitud y la duración que necesita (por ejemplo, 2 horas).
- Envíe la solicitud. Si se configura una política de aprobación, su solicitud va al aprobador designado.
- Espere la aprobación. Recibirá una notificación cuando se otorgue el acceso.
- Acceda al Safe y use la credencial o inicie la sesión dentro de la ventana de concesión.
- Su acceso expira automáticamente al final de la duración de la concesión.
Estado de éxito: Puede acceder al Safe y sus recursos durante la duración de la concesión. Después de la expiración, su acceso se elimina y el registro de auditoría documenta el final de la concesión.
Cómo configurar políticas JIT (administrador)
- Vaya a Policies > New policy.
- Nombre la política y agregue una descripción (por ejemplo, "JIT access -- Production DB").
- Establezca la Action en Require approval.
- En JIT settings, habilite Automatic expiry y establezca la duración máxima de la concesión.
- Asigne la política al Safe de destino.
- Active la política.
Estado de éxito: Los usuarios sin membresía permanente en el Safe ahora pueden solicitar acceso temporal. Las solicitudes aparecen en la cola Approvals para que los aprobadores designados las revisen.
Duración máxima de la concesión
Puede configurar la duración máxima de la concesión por política. Si un usuario solicita una duración más larga que la máxima, la solicitud se limita automáticamente al máximo configurado.
Máximos recomendados por caso de uso:
| Caso de uso | Máximo recomendado |
|---|---|
| Tarea operativa de rutina | 4 horas |
| Respuesta a incidentes | 8 horas |
| Ventana de mantenimiento | 12 horas |
| Revisión de auditoría (solo lectura) | 24 horas |
Rastro de auditoría para concesiones JIT
Cada evento de acceso JIT se registra en el registro de auditoría:
- Access requested -- quién solicitó, qué Safe, duración solicitada, motivo
- Approved u Denied -- quién aprobó/rechazó y cuándo
- Access granted -- hora de inicio y hora de expiración
- Access expired -- evento del sistema que confirma la eliminación de la concesión
Consulte Audit log para obtener información sobre cómo buscar y exportar estos eventos.