為了降低特殊權限被濫用的風險,特權存取管理(PAM)解決方案市場出現了一種新趨勢 - 實施即時(Just-in-Time, JIT)特殊權限存取。這種特殊身份管理方法旨在減輕長期高級別存取所帶來的風險,通過暫時性地授予權限,而不是提供持續的高級別權限,來達到這一目標。通過採用這種策略,組織可以增強安全性,最小化攻擊者可乘之機,並確保用戶只在必要時才能訪問特殊資源。
什麼是 JIT,為什麼它很重要?
JIT 特殊權限存取配置涉及暫時性地向用戶授予特殊權限,這與最小權限原則相一致。這一原則規定用戶只能獲得完成任務所需的最低級別權限,且只能在完成任務所需的時間內獲得這些權限。
JIT 配置的一大優勢是可以降低權限升級的風險,並最小化基於憑證的攻擊面。通過消除常設權限,即帳戶在未處於活動狀態時所擁有的權限,JIT 配置限制了惡意行為者濫用這些帳戶的時間窗口。JIT 配置干擾了攻擊者的偵查嘗試,因為它只會在發生活動存取請求時才將用戶添加到特殊組中。這可以防止攻擊者識別潛在目標。
如何使用 Safeguard 實施 JIT 配置?
Safeguard 是一款特權存取管理解決方案,它為跨多個平台(包括 Active Directory 和 Linux/Unix 環境)的 JIT 配置提供了強大支持。使用 Safeguard,組織可以在 Active Directory 中創建普通用戶帳戶,無需特殊權限。這些帳戶然後由 Safeguard 進行管理,處於禁用狀態,直到被激活作為存取請求工作流的一部分。
當創建存取請求時,Safeguard 會自動激活用戶帳戶,將其添加到指定的特殊組(如 Domain Admins),並授予必要的訪問權限。一旦存取請求完成,無論是通過配置的超時期間還是用戶登出憑證,用戶帳戶都會從特殊組中刪除並禁用,最大限度地降低了面臨安全威脅的風險。
如何借助 Active Roles 增強 JIT 配置?
當與 One Identity 的市場領先 Active Directory 管理工具 Active Roles ARS 結合使用時,組織可以將其 JIT 配置的安全性和定制性提升到更高的水平。Active Roles 使組織能夠自動化帳戶激活、群組成員管理和 Active Directory 屬性同步等更複雜的 JIT 配置用例。
例如,Safeguard 的存取請求工作流可以觸發 Active Roles 不僅激活用戶帳戶並分配權限,還更新 Active Directory 中的虛擬屬性並跨環境同步這些變更。
結語
即時特殊權限配置是全面特權存取管理策略的關鍵組成部分。通過實施 JIT 配置,組織可以降低特殊權限被濫用的風險,增強安全性,並確保用戶只在必要時才能訪問特殊資源,且只能訪問所需的時間。將 Safeguard 與 Active Roles 相結合,可以使組織實施更健全的 JIT 配置政策,從而增強安全性,降低風險。
詳情請看:
Timing is Everything: The Role of Just-in-Time Privileged Access in Security Evolution