Just-in-Time-toegang
Just-in-Time (JIT)-toegang verleent tijdelijke, beperkte toegang tot een Safe of resource die automatisch verloopt. JIT is de aanbevolen aanpak voor het handhaven van minimale-bevoegdheidstoegang: gebruikers houden geen permanente toegang tot gevoelige resources; zij vragen deze aan wanneer nodig.
Waarom JIT-toegang belangrijk is
Permanente toegang (waarbij een gebruiker altijd toegang tot een resource heeft) vergroot het effect van een gecompromitteerde account. JIT-toegang beperkt de blootstelling: als referenties worden gecompromitteerd, heeft de aanvaller alleen toegang gedurende het toekenningsvenster.
JIT-toegang creëert ook een duidelijk auditspoor: elke toekenning wordt vastgelegd met de verzoekende gebruiker, fiatteur, duur en resource.
JIT-toegang aanvragen (operator)
- Ga naar Safes en zoek de Safe waartoe u toegang nodig hebt.
- Als u de Safe niet ziet, kan deze een JIT-verzoek vereisen. Klik op Toegang aanvragen op de Safe-kaart.
- Voer de reden voor het verzoek in en de duur die u nodig hebt (bijvoorbeeld 2 uur).
- Dien het verzoek in. Als een goedkeuringsbeleidsregel is geconfigureerd, gaat uw verzoek naar de aangewezen fiatteur.
- Wacht op goedkeuring. U ontvangt een melding wanneer de toegang is verleend.
- Benaderde de Safe en gebruik de referentie of start de sessie binnen het toekenningsvenster.
- Uw toegang verloopt automatisch aan het einde van de toekenningsduur.
Succestoestand: U kunt de Safe en de bijbehorende resources gedurende de toekenningsduur benaderen. Na expiratie wordt uw toegang verwijderd en wordt het einde van de toekenning in het auditlogboek vastgelegd.
JIT-beleidsregels configureren (admin)
- Ga naar Policies > Nieuw beleid.
- Geef het beleid een naam en voeg een beschrijving toe (bijvoorbeeld "JIT-toegang -- Production DB").
- Stel de Action in op Goedkeuring vereisen.
- Onder JIT-instellingen schakelt u Automatisch verlopen in en stelt u de maximale toekenningsduur in.
- Wijs het beleid toe aan de doelstelling Safe.
- Activeer het beleid.
Succestoestand: Gebruikers zonder permanent lidmaatschap in de Safe kunnen nu tijdelijke toegang aanvragen. Verzoeken verschijnen in de Approvals-wachtrij voor aangewezen fiatteurs.
Maximale toekenningsduur
U kunt de maximale toekenningsduur per beleid configureren. Als een gebruiker een duur aanvraagt die langer is dan het maximum, wordt het verzoek automatisch begrensd tot het geconfigureerde maximum.
Aanbevolen maxima per gebruiksscenario:
| Gebruiksscenario | Aanbevolen maximum |
|---|---|
| Routine operationele taak | 4 uur |
| Incident response | 8 uur |
| Onderhoudvenster | 12 uur |
| Auditbeoordeling (alleen-lezen) | 24 uur |
Auditspoor voor JIT-toekenningen
Elke JIT-toegebeurtenis wordt in het auditlogboek vastgelegd:
- Toegang aangevraagd -- wie aanvraag heeft ingediend, welke Safe, aangevraagde duur, reden
- Goedgekeurd of Geweigerd -- wie heeft goedgekeurd/geweigerd en wanneer
- Toegang verleend -- starttijd en vervaltijd
- Toegang verlopen -- systeemgebeurtenis ter bevestiging van toekenningsverwijdering
Zie Audit Log voor het zoeken en exporteren van deze gebeurtenissen.