Dostęp typu just-in-time (JIT) a wystarczające uprawnienia (JEP)

Główna różnica pomiędzy dostępem typu just-in-time (JIT) a wystarczającymi uprawnieniami (JEP) polega na tym, że dostęp JIT skupia się na czasie dostępu, który jest przyznawany wyłącznie w razie potrzeby. JEP koncentruje się na rodzaju przyznawanego dostępu. Mimo że obie strategie minimalizują ryzyko stałych uprawnień, dostęp JIT i JEP mają odmienne zasady i priorytety.

Czytaj dalej, aby dowiedzieć się więcej o dostępie JIT i JEP, głównych różnicach pomiędzy nimi oraz ich współdziałaniu w ramach zarządzania dostępem.

Co to jest dostęp typu just-in-time (JIT)?

Dostęp typu just-in-time (JIT) zapewnia nadawanie podwyższonych uprawnień użytkownikom oraz komputerom w czasie rzeczywistym na określony czas w celu wykonania określonego zadania. Po wdrożeniu dostępu JIT autoryzowani użytkownicy mogą korzystać z danych uprzywilejowanych wyłącznie w razie potrzeby, zamiast uzyskiwać stały dostęp. Ogranicza to czas dostępu pracowników do systemów uprzywilejowanych, co zmniejsza powierzchnię ataku i ogranicza inne zagrożenia dla bezpieczeństwa.

Co to są wystarczające uprawnienia (JEP)?

Wystarczające uprawnienia (JEP) ograniczają zasoby dostępne dla użytkownika, zapewniając jedynie dostęp wystarczający do wykonania przydzielonego zadania. JEP opiera się na zasadzie najniższego poziomu uprawnień (PoLP), która ogranicza poziom przyznawanego dostępu w celu ograniczenia zagrożeń dla cyberbezpieczeństwa, takich jak zagrożenia wewnętrzne.

Najważniejsze różnice pomiędzy dostępem typu just-in-time a wystarczającymi uprawnieniami

Zarówno JIT, jak i JEP minimalizują zagrożenia dla bezpieczeństwa i kontrolują dostęp uprzywilejowany, ale koncentrują się na różnych obszarach.

Dostęp JIT jest oparty na czasie, a JEP na rolach

W przypadku dostępu JIT użytkownik otrzymuje go wyłącznie w razie potrzeby i na określony czas. Natomiast JEP przyznaje użytkownikom minimalne uprawnienia niezbędne do wykonywania zadań w zależności od roli. Na przykład w przypadku konieczności uzyskania przez administratora systemu tymczasowego dostępu na potrzeby rozwiązania problemu z serwerem przyznawane są uprawnienia ograniczone czasowo. Po rozwiązaniu problemu te uprawnienia są wycofywane.

JEP opiera się na rolach i skupia się na zasobach niezbędnych użytkownikowi na potrzeby określonej roli. Na przykład młodszy administrator systemu zarządzający kontami użytkowników nie wymaga pełnego dostępu administracyjnego. W takim przypadku JEP zapewnia przypisanie młodszemu administratorowi ograniczonych uprawnień na potrzeby korzystania wyłącznie z narzędzi i danych niezbędnych do zarządzania kontami użytkowników.

Dostęp JIT koncentruje się dostępie krótkoterminowym i ograniczonym czasowo, a JEP dotyczy dostępu długoterminowego

Dostęp JIT dotyczy przyznawania krótkiego dostępu ograniczonego czasowo, natomiast JEP zapewnia dostęp na dłuższy czas. JIT zapewnia dostęp uprzywilejowany wyłącznie na krótki czas, a uprawnienia wygasają po wykonaniu określonego zadania.

JEP zapewnia dostęp uprzywilejowany ograniczony do uprawnień niezbędnych dla określonej roli, ale nie ogranicza czasu przyznawania dostępu. Na przykład dyrektor, który potrzebuje częstego dostępu do poufnych raportów, będzie miał stały dostęp do danych tego typu.

Dostęp JIT wymaga od użytkowników uzasadnionego wniosku o dostęp za każdym razem, gdy jest on potrzebny – w przypadku JEP nie ma takiej konieczności

W przypadku dostępu JIT konieczny jest wniosek o podwyższone uprawnienia za każdym razem, gdy konieczne jest uzyskanie dostępu do danych uprzywilejowanych, natomiast JEP zapewnia stały dostęp, jeśli rola użytkownika nie wymaga dodatkowego dostępu. W przypadku JEP nie ma potrzeby każdorazowego wniosku o dostęp do danych uprzywilejowanych i uzasadniania go, jeśli rola użytkownika pozostaje niezmieniona.

Dostęp JIT i JEP mają różne przypadki użycia

Zarówno dostęp JIT, jak i JEP ograniczają zagrożenia dla cyberbezpieczeństwa, jednak dostęp JIT jest częściej wykorzystywany w sytuacjach tymczasowych lub awaryjnych, a JEP częściej wykorzystuje się na potrzeby ciągłego, kontrolowanego dostępu. W przypadku wystąpienia sytuacji awaryjnej i konieczności rozwiązania problemu przez administratora należy przyznać mu tymczasowe uprawnienia za pomocą dostępu JIT, aby zapobiec naruszeniu kont. Po rozwiązaniu problemu tymczasowy dostęp administratora zostaje wycofany, co zmniejsza ryzyko dla bezpieczeństwa organizacji. Natomiast JEP jest przydatny w przypadku określonych ról wymagających stałego, ale ograniczonego dostępu do danych uprzywilejowanych.

Współdziałanie JIT i JEP w zakresie zarządzania dostępem

Współdziałanie dostępu JIT i JEP w ramach zarządzania tożsamością i dostępem (IAM) oraz zarządzania uprzywilejowanym dostępem (PAM) zapewnia bezpieczniejszy sposób kontroli dostępu uprzywilejowanego. Wdrożenie zarówno dostępu JIT, jak i JEP umożliwia kontrolę dostępu do zadań tymczasowych ograniczonych czasowo oraz ciągłych obowiązków opartych na rolach w organizacji. Korzyści wynikające z jednoczesnego wykorzystania dostępu JIT i JEP w organizacji:

Zwiększ bezpieczeństwo za pomocą JIT i JEP, wykorzystując rozwiązanie KeeperPAM^®

Aby bezpiecznie zarządzać dostępem uprzywilejowanym w organizacji, należy zwiększyć bezpieczeństwo za pomocą rozwiązania KeeperPAM^®, które wykorzystuje zarówno dostęp JIT, jak i JEP. Rozwiązanie KeeperPAM umożliwia przyznawanie dostępu użytkownikom uprzywilejowanym wyłącznie w razie potrzeby i na ograniczony czas.

Już dziś zamów demo rozwiązania KeeperPAM, aby zwiększyć bezpieczeństwo organizacji i skutecznie zarządzać dostępem uprzywilejowanym.