Что такое доступ «точно в срок»?
- Глоссарий IAM
- Что такое доступ «точно в срок»?
Доступ «точно в срок» — это практика управления привилегированным доступом (PAM), при которой живые пользователи и машины получают повышенные привилегии в режиме реального времени в течение определенного периода времени для выполнения конкретной задачи. Благодаря этому все авторизованные пользователи получают доступ к привилегированным системам, приложениям и данным только тогда, когда им это необходимо. Чтобы не предоставлять привилегии на постоянной основе, организации могут использовать доступ «точно в срок», чтобы ограничить доступ к определенным ресурсам и предотвратить злоупотребление привилегиями со стороны внутренних и внешних злоумышленников.
Продолжайте читать, чтобы узнать больше о доступе «точно в срок» и о том, как его можно использовать для защиты сети вашей организации.
Как работает доступ «точно в срок»
Когда живому пользователю или машине потребуются права для доступа к конфиденциальным ресурсам бизнеса, он должен отправить запрос администратору или автоматизированной системе. Затем запрос проходит процедуру утверждения, чтобы проверить, является ли запрос на привилегированный доступ действительным. После утверждения запроса администратор или автоматизированная система предоставит пользователю доступ «точно в срок», с которым он будет иметь повышенные права или доступ к привилегированной учетной записи, в течение ограниченного периода времени, пока не завершит выполнение своей задачи. По завершении выполнения задачи пользователь выйдет из системы, а затем его доступ будет отозван или удален, пока он не понадобится снова.
Важность доступа «точно в срок»
Доступ «точно в срок» важен для обеспечения доступа с наименьшими привилегиями. Принцип наименьших привилегий — это концепция кибербезопасности, которая предоставляет пользователям достаточный доступ к сети систем и данных организации для выполнения их работы и не более. Доступ с наименьшими привилегиями разделяет и ограничивает доступ к ресурсам организации. Пользователи могут получить доступ только к тем ресурсам которые им нужны для выполнения работы, и не должны иметь доступ к чему-либо еще, если это не требуется для конкретной задачи и не утверждено. Благодаря доступу «точно в срок» организации могут предоставлять пользователям временный привилегированный доступ и отзывать его, чтобы обеспечить доступ к конфиденциальным ресурсам как можно меньшему числу пользователей.
Используя доступ «точно в срок» для поддержки доступа с наименьшими привилегиями, организации могут уменьшить поверхность атаки и защитить свои конфиденциальные данные. Под поверхностью атаки подразумевается сбор возможных точек входа, которые злоумышленники могут использовать для получения несанкционированного доступа к сети организации. Ограничивая привилегированный доступ заранее определенным количеством времени, организации ограничивают чрезмерный доступ и сокращают возможные точки входа в свою сеть. Благодаря этому доступ к конфиденциальным данным организации могут получить только авторизованные пользователи и только в случае необходимости.
Виды доступа «точно в срок»
Вот три вида доступа «точно в срок», которые могут использовать организации для предоставления временного привилегированного доступа.
Брокер и удаление доступа
Брокер и удаление доступа, или доступ на основе обоснования, требует от пользователей обоснования получения привилегированного доступа в течение определенного периода. Эти пользователи будут иметь постоянную, привилегированную общую учетную запись и учетные данные, управление, защита и ротация которых будут осуществляться в центральном хранилище, не доступном для пользователя. Это защищает от злоупотребления привилегированными учетными данными.
Эфемерная учетная запись
Эфемерные учетные записи являются одноразовыми учетными записями, предоставляющими пользователям ограниченный доступ для выполнения конкретной задачи. Администраторы будут создавать кратковременные одноразовые учетные записи для пользователей низкого уровня или сторонних пользователей для доступа к ресурсам, которые им нужны. Эфемерные учетные записи помогают пользователям получить временный доступ до завершения выполнения задачи. После выполнения задания учетная запись автоматически отключается или удаляется. Это позволяет организациям не предоставлять низкоуровневым или сторонним пользователям доступ к конфиденциальным ресурсам на длительное время, чем можно легко воспользоваться.
Повышение привилегий
Повышение привилегий, или временное повышение, — это когда пользователь запрашивает более высокий уровень привилегированного доступа для выполнения конкретной задачи. Запрос утверждается и предоставляется либо автоматизированной системой, либо вручную администратором с указанием сроков выполнения задачи. После утверждения пользователь получает доступ к привилегированным учетным записям или выполняет привилегированные команды в течение ограниченного времени. По истечении времени доступ для пользователя удаляется.
Преимущества внедрения доступа «точно в срок»
Вот преимущества внедрения доступа «точно в срок».
Повышение уровня безопасности
Доступ «точно в срок» помогает повысить уровень безопасности организации за счет ограничения доступа к конфиденциальным ресурсам и снижения рисков нарушений безопасности. Ограничивая привилегированный доступ к конфиденциальным ресурсам, организации могут предотвратить злоупотребление привилегиями внешними и злонамеренными внутренними злоумышленниками. Доступ «точно в срок» не позволяет пользователям злоупотреблять привилегиями и препятствует их горизонтальному перемещению по сети организации для получения доступа к особо важным системам, приложениям и базам данных.
Усовершенствование рабочего процесса предоставления доступа для администраторов
Благодаря доступу «точно в срок» администраторы могут усовершенствовать рабочие процессы, предоставляя пользователям доступ к конфиденциальным ресурсам именно тогда, когда они в этом нуждаются, а не проходя через длительную процедуру проверки для предоставления полного доступа к постоянным привилегированным учетным записям. Доступ «точно в срок» помогает автоматически утверждать запросы и отзывать привилегии.
Соблюдение нормативных требований
Организации должны придерживаться отраслевых и нормативных требований, таких как SOX и GDPR, согласно которым деятельность привилегированных пользователей должна контролироваться и проверяться. Доступ «точно в срок» ограничивает количество привилегированных пользователей и предоставляет организациям журнал аудита для всех привилегированных действий.
Как внедрить доступ «точно в срок»
Для внедрения доступа «точно в срок» организациям необходимо выполнить следующие действия:
Поддерживать постоянную, привилегированную общую учетную запись с помощью автоматизированного хранилища паролей, которое централизованно выполняет управление и ротацию учетных данных.
-
Создать подробную политику, требующую от живых пользователей и машин предоставлять определенные данные и обоснования для запроса временного привилегированного доступа к конфиденциальным ресурсам.
Предоставлять временно повышенные привилегии, позволяющие живым пользователям и машинам получать доступ к определенным конфиденциальным ресурсам или выполнять привилегированные команды в течение ограниченного периода времени.
Выполнять запись и аудит привилегий для всех привилегированных учетных записей для обнаружения и реагирования на подозрительное поведение и необычные действия.