即时 (Just-In-Time Access) 访问是一种网络安全功能,用户、应用程序或系统仅在需要时和有限的时间内被授予对资源的访问权限。这种方法限制了特权帐户未经授权访问敏感数据的风险。JIT访问通常与其他安全措施(例如多因素身份验证和加密)结合使用,以提供强大的分层防御来抵御威胁。
一、JIT访问如何工作?
JIT访问涉及三个关键要素:资源、持续时间和操作。
●需要访问的资源。
●访问的持续时间以及用户是否有权在该特定时间范围内访问它。
●用户执行的具体操作。
●JIT访问的典型工作流从用户请求访问资源开始,然后由IT管理员根据现有策略对其进行评估,以确定是否予以批准。如果授予访问权限,则用户可以完成他们的任务,并在规定的时间后撤销特权访问权限。
二、为什么企业需要 JIT ?
●简化访问工作流程并提高运营效率。
●自动化JIT访问审批流程可以简化IT管理员和最终用户的工作流程。IT管理员不再需要在审核周期上花费过多的时间,并且可以及时授予用户访问权限。由于可以自动批准特权访请求,这样就提高了运营效率。
●确保零信任和最小特权原则的实施。
●JIT可帮助企业将最小特权和零信任原则付诸实践。使用JIT,不会自动信任任何特权访问请求,并且所有请求在被授予之前都经过充分验证。确保只有授权人员才能访问受限数据和资源,从而提供高安全级别。
●消除永久性特权,减少被攻击的概率。
展开全文
●永久性特权访问会使企业网络受到内部和外部威胁。实施JIT特权访问有助于实现仅在必要时和有限时间内授予访问权限来减轻这些风险。此外,JIT 可以防止特权升级尝试并限制黑客在网络中横向移动和扩大其恶意行为的可能性。
●提供更好的网络安全态势。
●JIT访问控制通过动态权限提升限制潜在的未授权访问和阻止恶意软件,从而提高组织安全性。仅在特定时间授予访问权限,执行特定任务。只有经过批准的应用程序权限才会提升,从而减少了利用永久权限带来的威胁,并最大限度地减少了攻击行为。在规定的时间之后,特权帐户将被禁用并且特权将过期,从而进一步改善安全状况。
●优化特权账户管理。
●通过实施JIT访问,极大程度解决了账户提权问题,并极的大缩短了赋予特权账户的时间,从而限制黑客利用这些特权的机会。从而限制了威胁参与者利用这些特权的机会。这种方法促进了在整个组织中实施真正的最低权限模型,并通过消除“始终在线”的特权帐户来帮助防御横向移动攻击。
●该机企业合规性审计。
●JIT 访问强制执行最小特权原则,删除常设特权,并提供特权帐户的细粒度视图。这确保了准确的审计视角,这对于根据 GDPR 和 ISO/IEC 27001:2013 等合规性法规正确管理特权帐户至关重要。
三、使用 ADManager Plus实现JIT访问
使用ManageEngine ADManager Plus,IT管理员可以授予用户基于时间的组访问权限,并设置自动化策略以在预定时间段后从组中添加和删除用户。这有助于IT管理员快速有效地管理临时用户访问,而无需提供常设特权,并有助于维护安全性。
IT管理员可以使用自动化策略来设置特定时间的权限指派,以及对特定文件夹的精细访问权限报表。这样可以更好地控制谁可以访问某些文件夹以及可以访问多长时间,从而有助于确保机密文件和数据的安全。
官方网站可免费下载软件试用。