О чем вы узнаете
Как доступ JIT защищает вас, когда вы пытаетесь действовать быстро и поддерживать производительность пользователей, в то время как злоумышленники находят новые способы злоупотребления привилегиями.
Команды безопасности и идентификации находятся под давлением, как никогда раньше.
Облачные среды, дистанционная работа и автоматизация сделали управление идентификацией и доступом к полноценной балансировке. Вы пытаетесь действовать быстро, оставаться в безопасности и поддерживать производительность пользователей – и все это в то время, когда злоумышленники находят новые способы злоупотребления привилегиями.
Рассмотрим доступ just-in-time (JIT), концепция, которая существует уже некоторое время, но снова привлекает внимание благодаря своей точности в предоставлении привилегированного доступа на основе времени, необходимого человеку или машине для выполнения своей работы, а затем отменяет его, когда он больше не требуется.
Что такое доступ just-in-time?
Начнём с основ.
Доступ «just-in-time» означает предоставление лицам или системам именно того уровня доступа, который им необходим, только тогда, когда это нужно, и только на то время, которое необходимо.
После завершения работы доступ автоматически исчезает. Больше нет длительных административных полномочий. Больше нет постоянных привилегий, которые тихо ждут использования. Только короткие, контролируемые окна доступа, минимизирующие риск.
Представьте, что вы занимаете главный ключ от здания только тогда, когда вам нужно выполнить ремонтные работы, и возвращаете его, как только закончите.
Почему доступ JIT сейчас имеет такое значение
Доступ JIT – это не просто еще одна функция безопасности. Это краеугольный камень современных систем безопасности идентификации, таких как сети с нулевым уровнем доверия (ZTN) и нулевые постоянные привилегии (ZSP).
- Сеть с нулевым уровнем доверия (ZTN) базирующийся на принципе «никогда не доверяй, всегда проверяй». Каждый запрос на доступ должен быть аутентифицирован и авторизован, независимо от того, кто его посылает и откуда.
- Нулевые постоянные привилегии (ZSP) идут еще дальше, полностью отменяя постоянные права администратора. С JIT эти привилегии существуют только тогда, когда они нужны, а затем исчезают.
Доступ JIT – это не просто приятная дополнительная функция, а необходимость.
Вместе эти фреймворки создают модель безопасности, построенную на непрерывной верификации, которую JIT доступ поддерживает идеально. Послание понятное: доступ JIT – это не просто приятная дополнительная функция, а необходимость. Он быстро становится обязательным условием современной кибербезопасности.
Большие преимущества доступа just-in-time
Почему JIT так революционен? Давайте рассмотрим три основных преимущества, которые получают организации после внедрения JIT:
1. Это уменьшает площадь атаки
Предоставляя повышенные привилегии только при необходимости, вы значительно уменьшаете количество потенциальных путей атаки в вашей среде. Если злоумышленники не могут найти постоянные учётные данные, они не могут ими воспользоваться. Всё очень просто. Каждая минута, в течение которой повышенный доступ отсутствует, это одна возможность меньше для нарушения безопасности.
2. Повышает общий уровень безопасности
Даже если аккаунт будет сломлен, JIT ограничивает потенциальный ущерб. Поскольку доступ ограничен во времени и строго контролируется, киберпреступники не могут перемещаться по сети или получать доступ к конфиденциальным системам по собственному желанию. Кроме того, JIT можно совместить с многофакторной аутентификацией (MFA), контекстными проверками и проверкой устройств, чтобы сделать каждый запрос на доступ более умным и безопасным.
3. Это упрощает соблюдение требований и аудит
Аудиторы любят доступ JIT, поскольку он создает четкую, прослеживаемую запись о том, кто, когда и почему получил доступ. Нужно ли продемонстрировать соответствие стандартам NIST, ISO или SOC? JIT предоставляет встроенный аудиторский след с подробными журналами каждого повышения привилегий. Больше не нужно гадать или заполнять таблицу вручную.
Это безопасность и соответствие требованиям, работающим рука об руку.
Как работает доступ just-in-time для людей
Когда мы говорим о доступе JIT, большинство людей думают о пользователях-людях: администраторах, разработчиках, инженерах технической поддержки или подрядчиках, которым для выполнения определенных задач нужны повышенные привилегии. Вот как JIT упрощает им жизнь, сразу обеспечивая сохранность ваших систем.
Доступ по требованию
Вместо постоянных административных прав, пользователи могут запрашивать доступ, когда он им действительно нужен, с помощью простого рабочего процесса или автоматизированного процесса утверждения. После выполнения задания привилегии автоматически отменяются. Это означает меньшее ожидание утверждения ИТ-отделом и меньше привилегий, которые впоследствии придется убирать из соображений безопасности.
Контроль доступа на основе ролей
JIT бесперебойно работает с контролем доступа на основе ролей (RBAC). Пользователи начинают с базовых прав доступа, отвечающих их должностным обязанностям. Когда нужны повышенные права, JIT временно добавляет эти привилегии, а затем удаляет их по окончании сеанса. Это обеспечивает соответствие доступа должностным обязанностям и уменьшает вероятность злоупотребления привилегиями.
Временные привилегии для критически важных задач
Нужно ли развернуть патч, устранить неисправность в базе данных или предоставить временный доступ поставщику? JIT упрощает эту задачу. Вы можете предоставить повышенные привилегии на определенный период, например, на два часа, и они автоматически утратят силу. Не нужно вручную очищать систему. Не будет забытых учетных записей. Только более чистый и безопасный контроль доступа.
Как работает доступ just-in-time для машин
Люди – не единственные идентичности, которые нужно защищать. Машины, такие как API, учетные записи служб, боты и модели искусственного интеллекта, также нуждаются в доступе к критически важным системам. В этом контексте доступ JIT играет все большую роль.
- Модели и агенты искусственного интеллекта: Искусственный интеллект и большие языковые модели (LLM) часто нуждаются в доступе к данным для выполнения определенных операций. JIT гарантирует, что они получают доступ только при обработке и теряют его сразу после этого.
- API и учетные записи служб: Вместо статичных учетных данных JIT предоставляет кратковременные временные учетные данные, которые автоматически теряют силу.
- Интеграция DevOps: В конвейерах CI/CD JIT может предоставлять доступ при построении или развертывании, а затем мгновенно отменять его после завершения.
Результат? Безопасная автоматизация, не замедляющая инновации.
Как реализовать доступ just-in-time
Внедрение доступа JIT не должно быть сложной задачей. Главное – начать с четкой стратегии и правильных инструментов.
1. Сначала определите политику
Определите, какие роли, системы и действия требуют повышенных преимуществ. Затем установите политику относительно того,
- как подаются и утверждаются запросы на доступ JIT
- какие временные ограничения применяются
- какие контекстуальные факторы (например, риск или местонахождение) влияют на утверждение
Эта политика станет основой вашей программы JIT.
2. Автоматизируйте все, что можно
Ручная предоставление доступа создает узкие места и ошибки. Вместо этого используйте автоматизацию для:
- утверждение и предоставление доступа JIT на основе политик
- автоматической отмены привилегий в конце сеанса
- регистрации каждого действия для целей аудита
Автоматизация обеспечивает согласованность, быстроту и масштабируемость, особенно в больших средах.
3. Мониторинг и отчетность
Видимость чрезвычайно важна. Следите за активностью доступа JIT в режиме реального времени, чтобы выявлять аномалии или злоупотребления. Комплексное ведение журналов позволяет легко отслеживать, кто, когда и как долго получал доступ к чему. С помощью соответствующих инструментов отчетности можно быстро продемонстрировать соответствие требованиям и выявить проблемы, прежде чем они перерастут в инциденты.
Взгляд на будущее доступа JIT
В условиях усложнения киберугроз доступ «just-in-time» также эволюционирует. Будущие решения JIT будут использовать оценку рисков на основе искусственного интеллекта для автоматической корректировки решений по доступу на основе поведения, местоположения или состояния устройства.
Мы движемся к миру, где доступ интеллектуален, динамичен и полностью контекстуален – предоставляя именно те привилегии, которые нужны, в нужное время и по нужной причине.
Готовы сделать следующий шаг?
Если ваша организация серьезно относится к уменьшению рисков, связанных с привилегиями, и к усилению стратегии нулевого доверия, доступ «just-in-time» должен быть на первом месте в вашем списке приоритетов.
Delinea упрощает эту задачу. Возможности доступа JIT от компании Delinea позволяют предоставлять повышенные привилегии только тогда, когда необходимо, автоматизировать отмену и поддерживать полную прозрачность – и все это с централизованной, простой в управлении платформы.
Источник: Just-in-time access: Strengthening security in a zero-trust world
