Доступ «точно в срок» (JIT-доступ) и привилегии «необходимого минимума» (JEP-привилегии)

Основное различие между JIT-доступом и JEP-привилегиями заключается в том, что в основе JIT-доступа лежит продолжительность доступа, который предоставляется только по мере необходимости. А JEP-привилегии ориентированы на то, какой доступ предоставляется. Хотя обе стратегии сводят к минимуму риск предоставления постоянных привилегий, JIT-доступ и JEP-привилегии работают по-разному и с учетом разных приоритетов.

Читайте дальше, чтобы узнать больше о JIT-доступе, JEP-привилегиях, их основных различиях и о том, как они взаимодействуют в управлении доступом.

Что такое доступ «точно в срок» (JIT-доступ)?

Доступ «точно в срок» (JIT-доступ) обеспечивает как пользователям, так и компьютерам повышенные привилегии в реальном времени в течение определенного периода для выполнения конкретной задачи. Благодаря JIT-доступу авторизованные пользователи могут получать доступ к привилегированным данным только при необходимости, а не на постоянной основе. Это ограничивает продолжительность доступа сотрудников к привилегированным системам и помогает сократить поверхность атаки и другие риски безопасности.

Что такое привилегии «необходимого минимума» (JEP-привилегии)?

Привилегии «необходимого минимума» (JEP-привилегии) позволяют ограничить то, к чему может получить доступ пользователь, предоставляя ему необходимый минимум для выполнения работы. JEP-привилегии основаны на принципе наименьших привилегий (PoLP), который ограничивает объем предоставляемого доступа, чтобы свести к минимуму риски кибербезопасности, такие как внутрисистемные угрозы.

Основные различия между доступом «точно в срок» и привилегиями «необходимого минимума»

Как JIT-доступ, так и JEP-привилегии сводят к минимуму риски безопасности и контролируют привилегированный доступ, но ориентированы на разные сферы.

JIT-доступ основан на времени, а JEP-привилегии — на ролях

C JIT-доступом пользователь получает доступ только при необходимости и на определенный срок. JEP-привилегии же предоставляют пользователям минимальный объем доступа, необходимого в зависимости от их роли. Например, если системному администратору требуется временный доступ для устранения неполадок на сервере, ему предоставляются привилегии, ограниченные по времени. После решения проблемы эти привилегии отзываются.

JEP-привилегии основаны на ролях, и их задача — установить приоритеты доступа, который необходим пользователю для его конкретной роли. Например, младшему системному администратору, который управляет учетными записями пользователей в системе, не требуется полный административный доступ. Поэтому JEP-привилегии позволяют предоставлять младшему администратору ограниченные права, которые дают ему возможность взаимодействовать только с теми инструментами и данными, которые необходимы для управления учетными записями пользователей.

JIT-доступ предоставляет краткосрочный и ограниченный по времени доступ, а JEP-привилегии — долгосрочный и непрерывный доступ

Если JIT-доступ предоставляет ограниченный по времени доступ в краткосрочной перспективе, JEP-привилегии предоставляют непрерывный доступ долгосрочно. JIT-доступ предоставляет привилегированный доступ только на короткий период времени, который заканчивается сразу после выполнения определенной задачи.

JEP-привилегии предоставляют привилегированный доступ, ограниченный разрешениями, необходимыми для конкретной роли, но не ограничивают продолжительность этого доступа. Например, если вы являетесь директором, которому нужен частый доступ к конфиденциальным отчетам, то получите непрерывный доступ к этой конфиденциальной информации.

JIT-доступ предполагает, чтобы пользователи запрашивали и обосновывали доступ каждый раз, когда он необходим, а JEP-привилегии — нет

С JIT-доступом повышенные разрешения нужно запрашивать каждый раз, когда необходим доступ к привилегированной информации, а JEP-привилегии предоставляют непрерывный доступ, если роль не требует дополнительного доступа. Имея JEP-привилегии, вы не должны каждый раз запрашивать и обосновывать доступ к привилегированной информации, если ваша роль не меняется.

JIT-доступ и JEP-привилегии имеют разные варианты использования

Как JIT-доступ, так и JEP-привилегии снижают риски кибербезопасности, но JIT-доступ чаще используется для временных или чрезвычайных ситуаций, а JEP-привилегии — для непрерывного контролируемого доступа. Если администратору необходимо устранить проблему, чтобы предотвратить компрометацию учетных записей, ему следует предоставить временные привилегии в экстренном случае с JIT-доступом. После решения проблемы временный доступ администратора отзывается, что снижает риски безопасности для организации. JEP-привилегии, напротив, полезны, когда определенные роли требуют непрерывного, но ограниченного доступа к привилегированной информации.

Как взаимодействуют JIT-доступ и JEP-привилегии в управлении доступом

JIT-доступ и JEP-привилегии работают вместе в управлении идентификацией и доступом (IAM) и управлении привилегированным доступом (PAM), чтобы обеспечить более безопасный способ контроля привилегированного доступа. Внедрив как JIT-доступ, так и JEP-привилегии, организации могут контролировать доступ к временным, ограниченным по времени задачам и постоянным обязанностям на основе ролей. Преимущества совместного использования JIT-доступа и JEP-привилегий в организации:

Повышение уровня безопасности с помощью JIT-доступа и JEP-привилегий посредством KeeperPAM^®

Чтобы безопасно управлять привилегированным доступом в организации, следует повысить уровень безопасности с помощью KeeperPAM^®, который усиливает безопасность с помощью JIT-доступа и JEP-привилегий. Используя KeeperPAM, вы можете предоставлять доступ привилегированным пользователям только при необходимости и на ограниченное время.

Запросите демоверсию KeeperPAM сегодня, чтобы повысить уровень безопасности в организации и эффективно управлять привилегированным доступом.