Glossar

Was ist Just-in-Time-Zugriff (JIT)?

INHALTSVERZEICHNIS

Was ist Just-in-Time-Zugriff?
Warum ist Just-in-Time-Zugriff/Just-in-Time-PAM wichtig?
Just-in-Time vs. Least Privilege -Konzept
Vergleich von JIT-Ansätzen
Saviynt und Just-in-Time-PAM
Zusätzliche Ressourcen

Bei der Bereitstellung von Just-in-Time-Zugriff (JIT) handelt es sich um eine Sicherheitspraxis, bei der Benutzern, Prozessen, Anwendungen und Systemen je nach Bedarf für einen begrenzten Zeitraum erhöhte Zugriffsrechte gewährt werden, um notwendige Aufgaben zu erledigen.

Privileged Access Management (PAM)-Systeme verwalten, auf welche Daten ein Konto Zugriff hat und wann es Zugriff hat. Die neuesten Zugriffsverwaltungslösungen umfassen Just-in-Time-Bereitstellungsfunktionen, die Null Vertrauen und Zero-Standing Privileges (ZSP) umfassen.

Warum ist Just-in-Time-Zugriff/Just-in-Time-PAM wichtig?

Der Missbrauch von Zugriffsrechten ist bei nahezu jedem Cyberangriff ein Faktor. Um das Risiko zu verringern und/oder die Auswirkungen eines Cyberangriffs abzumildern, können wir zwei Schlüsselfaktoren kontrollieren: Umfang und Zeit .

Umfang: Das Prinzip der geringsten Privilegien oder „gerade genug Privilegien“ steuert den Umfang der Privilegien und stellt sicher, dass Einzelpersonen oder Systeme nur den unbedingt erforderlichen Mindestzugriff haben.
Zeit: Gerade rechtzeitig (JIT)-Zugriff steuert die Zeitspanne, in der jemand privilegierten Zugriff auf unsere Umgebungen hat.

Durch die Implementierung und Automatisierung von JIT verringern Sie Ihre Angriffsfläche und können teure und markenschädigende Sicherheitsverletzungen verhindern. Die JIT-Ansätze erreichen Folgendes:

Schnellere Bereitstellung und einfachere Verwaltung
Zeitgebundener und aufgabenspezifischer Zugriff
Aktivierung/Deaktivierung von Administratorkonten
Einmalige Zugriffstoken, die für eine bestimmte Aufgabe, ein bestimmtes Gerät und eine bestimmte Person erstellt werden

Just-in-Time vs. Least Privilege

Das Prinzip der geringsten Privilegien konzentriert sich auf die Zugriffskontrolle und das Einrichten minimaler Zugriffsrechte für jeden Benutzer und jede Identität. Das Prinzip der geringsten Privilegien besagt, dass Benutzer nur Zugriff auf die erforderlichen Ressourcen haben sollten, die sie zum Erledigen eines Auftrags benötigen (anstatt Zugriff auf das gesamte Netzwerk oder große Teile davon zu erhalten). Wenn der Benutzer böswillig handelt oder kompromittiert wird, verringert das Prinzip der geringsten Privilegien den Schaden, den er anrichten kann. In einer Umgebung, in der Benutzer dynamisch sind und zwischen Rollen und Teams wechseln, ist die Implementierung des Prinzips der geringsten Privilegien eine Herausforderung. Benutzer benötigen Ressourcen für einen Auftrag, die sie beim nächsten nicht mehr brauchen. Mit der zeitlich begrenzten JIT-Bereitstellung können Sie diese privilegierten Konten vollständig entfernen, sodass sich die Berechtigungen einer Einzelperson nicht ansammeln und nicht auf dem Radar verschwinden.

Das Prinzip der geringsten Privilegien ist der Standard und ZSP das Ideal. ZSP zielt auf die vollständige Entfernung dauerhafter privilegierter Konten und die Entwicklung hin zu einem flüchtigen bzw. Just-in-Time-Privilegienmodell ab. Die Just-in-Time-Authentifizierung gewährt Benutzern erweiterte Berechtigungen für genau die Ressourcen, die sie benötigen, und zwar nur für den erforderlichen Zeitraum, statt dauerhaften 24-Stunden-Zugriff auf alle Ressourcen.

Vergleich von JIT-Ansätzen

Rechteerweiterung und Delegationsverwaltung (PEDM)

Tools zur Rechteerhöhung und Delegationsverwaltung (PEDM) verteilen den Zugriff auf der Grundlage von Stellenrollen und vordefinierten Richtlinien. Diese definieren, wer auf welchen Teil eines Systems zugreifen kann und was er mit diesem Zugriff tun kann. Dies wird häufig dadurch erreicht, dass ein Agent auf einem Endpunkt platziert wird. Rechteerhöhungsrichtlinien sind jedoch normalerweise statische Richtliniendateien, die immer für den Benutzer gelten . Wenn dieser Benutzer oder sein Computer kompromittiert wird, erhält der Angreifer diese Berechtigungen.

JIT-Gruppenmitgliedschaft

Ein standardmäßiges, nicht privilegiertes Konto wird vorübergehend einer Gruppe hinzugefügt, die privilegierten Zugriff gewährt. Gruppen können verwendet werden, um den Zugriff auf lokale privilegierte Gruppen, Active Directory und Cloud-Dienste zu regeln. Obwohl der Zugriff zeitgebunden und aufgabenspezifisch ist, funktioniert das Modell nur, wenn privilegierte Gruppen gut definiert sind. Mit der Zeit beginnen sich selbst gut definierte Gruppen zu verändern, wenn Ausnahmen gewährt werden. Schon bald weichen Gruppen von ihrem ursprünglichen Zweck ab.

Aktivierte/Deaktivierte Administratorkonten

Gemeinsam genutzte Administratorkonten in Netzwerken oder Geräten werden aktiviert oder deaktiviert, um den erforderlichen Zugriff zu ermöglichen. In diesem JIT-Zugriffsmodell werden gemeinsam genutzte Administratorkonten, die auf Geräten oder im Netzwerk vorhanden sind, „aktiviert“, damit Benutzer bestimmte Aufgaben ausführen können. Wenn die Aufgabe abgeschlossen ist, werden diese Konten deaktiviert. Obwohl die Berechtigung nicht dauerhaft ist, wird sie nach der Aktivierung vollständig freigegeben. Gemeinsam genutzte Konten enthalten in der Regel übermäßige Berechtigungen und können schwierig zu verwalten sein.

JIT-Sicherheitstoken

JIT-Sicherheitstoken bieten kurzlebigen , zertifikatsbasierten Zugriff auf kritische IT-Ressourcen. Anstatt Benutzername und Passwort für den Zugriff zu verwenden, erhält der Benutzer ein einmaliges Sicherheitstoken für den Zugriff auf das Zielsystem. Token werden normalerweise bei SSH-basierten Workloads verwendet und bieten granularen, aufgabenspezifischen Zugriff. Im Gegensatz zu manuellen Konfigurationen, die umfangreich und zeitaufwändig sind, können dynamische Cloud-Ökosysteme Schwierigkeiten schnell und effizient verschlimmern.

JIT-Kontoerstellung/-löschung

Für eine bestimmte Aufgabe wird ein privilegiertes Konto erstellt und nach Abschluss der Aufgabe gelöscht. Diese Methode hilft dabei, bestehende privilegierte Konten zu eliminieren, die bei einem Cyber-Vorfall ausgenutzt werden könnten. In diesem Modell behalten Organisationen einige Administrator-/Root-Konten, die für Break-Glass-Zwecke geschützt werden. Alle anderen privilegierten Konten bestehen für einen begrenzten Zeitraum und haben eingeschränkte Berechtigungen. Die Erstellung/Entfernung von JIT-Konten steht im Einklang mit den Grundprinzipien von Zero Trust. Ohne eine wirklich konvergente, identitätsbasierte PAM-Lösung ist dieser Ansatz schwer zu erreichen. Ohne eine wirklich konvergente, identitätsbasierte PAM-Lösung ist dieser Ansatz schwer zu erreichen.

Um JIT PAM für Cloud-basierte Workloads zu erweitern, können Unternehmen ihre Abläufe mit einer SaaS-basierten Cloud-PAM- Schicht vereinfachen. Durch die Integration in vorhandene Identitäts- und Sicherheitsumgebungen können Sicherheitsverantwortliche übermäßige Cloud-Berechtigungen problemlos überwachen.

Saviynt und Just-in-Time PAM

JIT PAM wird von Identity gesteuert. Die Identity Cloud-Plattform von Saviynt kombiniert branchenführende Identitätsverwaltung mit Cloud-nativem Privileged Access Management, um echte PAM- und IGA-Konvergenz zu ermöglichen. Die intelligenten IGA-Funktionen von Saviynt bieten ein tiefes Verständnis von Identitäten, Organisationsrollen, Zugriffsrechten und Nutzung, um angemessenen Zugriff mit den geringsten Berechtigungen durchzusetzen. Herkömmliche PAM-Tools wurden nicht im Hinblick auf die Verwaltung entwickelt, weshalb sie nicht für die Bereitstellung feinkörniger Zugriffsentscheidungen geeignet sind.

Beseitigen Sie persistente Konten und ständige Privilegien und etablieren Sie Governance vom ersten Tag an. Die konvergente Identitätsplattform Identity Cloud von Saviynt ermöglicht es Unternehmen, eine umfangreiche Bibliothek sofort einsatzbereiter Integrationen zu nutzen, um privilegiertes Zugriffsmanagement innerhalb weniger Tage bereitzustellen und so die betriebliche Komplexität zu reduzieren. Unsere EIC-Plattform unterstützt schnelle, nachhaltige Fortschritte.