Чтобы свести к минимуму риск злоупотребления привилегиями, тенденция на рынке решений для управления привилегированным доступом (PAM) предполагает внедрение привилегированного доступа "точно в срок" (JIT). Этот подход к управлению привилегированными идентификационными данными направлен на снижение рисков, связанных с длительным доступом высокого уровня, путем предоставления привилегий временно и только при необходимости, вместо предоставления пользователям постоянных привилегий высокого уровня. Применяя эту стратегию, организации могут повысить безопасность, свести к минимуму возможности для потенциальных злоумышленников и гарантировать, что пользователи получают доступ к привилегированным ресурсам только при необходимости.
Что такое JIT и почему это важно?
Предоставление привилегированного доступа JIT предполагает предоставление привилегированного доступа пользователям на временной основе в соответствии с концепцией наименьших привилегий. Этот принцип предоставляет пользователям только минимальный уровень доступа, необходимый для выполнения их задач, и только на время, необходимое для этого.
Одним из ключевых преимуществ JIT provisioning является его способность снижать риск повышения привилегий и минимизировать поверхность атаки при атаках на основе учетных данных. Устраняя постоянные привилегии или привилегии, которыми обладает учетная запись, когда она не используется активно, предоставление JIT ограничивает окно возможностей для злоумышленников использовать эти учетные записи. JIT-инициализация прерывает попытки злоумышленников провести разведку, поскольку добавляет пользователей в привилегированные группы только при поступлении активных запросов на доступ. Это не позволяет злоумышленникам идентифицировать потенциальные цели.
Как реализовать JIT - инициализацию с помощью Safeguard
Safeguard, решение для управления привилегированным доступом, предлагает надежную поддержку подготовки JIT на нескольких платформах, включая Active Directory и среды Linux / Unix. С Safeguard организации могут создавать обычные учетные записи пользователей в Active Directory без особых привилегий. Затем эти учетные записи передаются под управление Safeguard и остаются в отключенном состоянии до тех пор, пока не будут активированы в рамках рабочего процесса запроса доступа.
Когда создается запрос на доступ, Safeguard автоматически активирует учетную запись пользователя, добавляет ее в определенные привилегированные группы, такие как администраторы домена, и предоставляет учетной записи необходимые права доступа. После завершения запроса доступа либо по истечении заданного периода ожидания, либо после того, как пользователь вернет учетные данные, учетная запись пользователя удаляется из привилегированных групп и отключается, сводя к минимуму подверженность любым потенциальным угрозам безопасности.
Как улучшить предоставление JIT-ресурсов с помощью активных ролей
В сочетании с Active Roles ARS, ведущим на рынке инструментом управления Active Directory от One Identity, организации могут повысить безопасность и настроить предоставление JIT-ресурсов на еще более высоком уровне. Активные роли обеспечивают более сложные варианты использования JIT-подготовки, позволяя организациям автоматизировать активацию учетной записи, управление членством в группах и синхронизацию атрибутов Active Directory.
Например, рабочий процесс запроса безопасного доступа может инициировать активные роли не только для активации учетных записей пользователей и назначения привилегий, но и для обновления виртуальных атрибутов в Active Directory и синхронизации изменений в среде.
Заключение
Своевременное предоставление привилегированного доступа является важнейшим компонентом комплексной стратегии управления привилегированным доступом. Внедряя JIT-инициализацию, организации могут снизить риск злоупотребления привилегиями, повысить безопасность и гарантировать, что пользователи получают доступ к привилегированным ресурсам только тогда и на столько времени, сколько необходимо. Сочетание функций Safeguard с активными ролями позволяет организациям внедрять надежные политики предоставления JIT для повышения безопасности и снижения рисков.
Что такое JIT и почему это важно?
Предоставление привилегированного доступа JIT предполагает предоставление привилегированного доступа пользователям на временной основе в соответствии с концепцией наименьших привилегий. Этот принцип предоставляет пользователям только минимальный уровень доступа, необходимый для выполнения их задач, и только на время, необходимое для этого.
Одним из ключевых преимуществ JIT provisioning является его способность снижать риск повышения привилегий и минимизировать поверхность атаки при атаках на основе учетных данных. Устраняя постоянные привилегии или привилегии, которыми обладает учетная запись, когда она не используется активно, предоставление JIT ограничивает окно возможностей для злоумышленников использовать эти учетные записи. JIT-инициализация прерывает попытки злоумышленников провести разведку, поскольку добавляет пользователей в привилегированные группы только при поступлении активных запросов на доступ. Это не позволяет злоумышленникам идентифицировать потенциальные цели.
Как реализовать JIT - инициализацию с помощью Safeguard
Safeguard, решение для управления привилегированным доступом, предлагает надежную поддержку подготовки JIT на нескольких платформах, включая Active Directory и среды Linux / Unix. С Safeguard организации могут создавать обычные учетные записи пользователей в Active Directory без особых привилегий. Затем эти учетные записи передаются под управление Safeguard и остаются в отключенном состоянии до тех пор, пока не будут активированы в рамках рабочего процесса запроса доступа.
Когда создается запрос на доступ, Safeguard автоматически активирует учетную запись пользователя, добавляет ее в определенные привилегированные группы, такие как администраторы домена, и предоставляет учетной записи необходимые права доступа. После завершения запроса доступа либо по истечении заданного периода ожидания, либо после того, как пользователь вернет учетные данные, учетная запись пользователя удаляется из привилегированных групп и отключается, сводя к минимуму подверженность любым потенциальным угрозам безопасности.
Как улучшить предоставление JIT-ресурсов с помощью активных ролей
В сочетании с Active Roles ARS, ведущим на рынке инструментом управления Active Directory от One Identity, организации могут повысить безопасность и настроить предоставление JIT-ресурсов на еще более высоком уровне. Активные роли обеспечивают более сложные варианты использования JIT-подготовки, позволяя организациям автоматизировать активацию учетной записи, управление членством в группах и синхронизацию атрибутов Active Directory.
Например, рабочий процесс запроса безопасного доступа может инициировать активные роли не только для активации учетных записей пользователей и назначения привилегий, но и для обновления виртуальных атрибутов в Active Directory и синхронизации изменений в среде.
Заключение
Своевременное предоставление привилегированного доступа является важнейшим компонентом комплексной стратегии управления привилегированным доступом. Внедряя JIT-инициализацию, организации могут снизить риск злоупотребления привилегиями, повысить безопасность и гарантировать, что пользователи получают доступ к привилегированным ресурсам только тогда и на столько времени, сколько необходимо. Сочетание функций Safeguard с активными ролями позволяет организациям внедрять надежные политики предоставления JIT для повышения безопасности и снижения рисков.
