Почему клиентский подход к РАМ (контроль привилегированных пользователей) имеет решающее значение для минимальных привилегий и своевременного доступа.

Just-in-Time (JIT) – это термин, который можно услышать от многих поставщиков управления привилегированным доступом (PAM), он используется в контексте передовой практики – принципа наименьших привилегий (PoLP).

Подход с минимальными привилегиями, включающий JIT-доступ, может стать мощным инструментом в вашем арсенале, помогающим бороться с утечками данных на основе личных данных. Однако выбор неправильного пути – при одновременном снижении некоторого риска – все равно сделает вас чрезмерно уязвимыми.

Неправильный доступ JIT без клиентов

Войдя в хранилище паролей, пользователь запрашивает дополнительные разрешения для доступа к серверу X и запуска привилегированных приложений. После утверждения хранилище входит в систему X с учетной записью локального администратора хранилища и предоставляет новую временную учетную запись администратора для пользователя на сервере X. Затем пользователь может войти в систему с этой новой учетной записью, выполнить свою работу и выйти из системы. Некоторое время спустя хранилище снова входит в систему X с учетной записью локального администратора и удаляет временную учетную запись администратора.

Давайте разберемся, почему это не идеально.

  • Хранилище не ограничивает права доступа в зависимости от того, что пользователю нужно делать в системе X.
  • Каждая новая временная учетная запись – это новый вектор атаки, увеличивающий поверхность угроз.
  • Хранилище и целевая система не имеют управляемой связи.
  • Этот подход не согласуется с PoLP, нулевым доверием и другими современными практиками, основанными на минимальных привилегиях.

Правильный доступ JIT с клиентами

Правильный путь начинается с надежной архитектуры PAM. Модель концентратора и луча, реализующая централизованную точку определения политики (PDP) с распределенными точками применения политики (PEP) на каждой конечной точке, является идеальной конструкцией для размещения современных распределенных ИТ-инфраструктур.

Реализованный как тонкий клиент PAM в каждой системе, PEP регистрирует систему в PDP, получая уникальный «идентификатор машины» и устанавливая доверительные отношения с взаимной аутентификацией.

Преимущества данного подхода:

  • Отсутствие зависимости от временных учетных записей локального администратора для привилегированного доступа, что снижает вероятность атаки.
  • Дополнительное преимущество: принудительно применяя многофакторную аутентификацию (MFA) при входе в систему и повышении привилегий, клиент PEP может проверить, что за клавиатурой работает законный пользователь, а не злоумышленник или вредоносное ПО.
  • Используя платформу PAM в качестве основы доверия, вы можете различать друзей и врагов, устраняя ложные срабатывания.
  • Когда система хочет использовать службы хранилища (например, приложение DevOps, проверяющее учетные данные), хранилище также может доверять конечной точке, применять роли и политики и осуществлять доступ к определенным API.
  • По мере того, как все больше нормативных документов и руководств согласуется с этими передовыми практиками, JIT-доступ и привилегии на основе клиента могут привести к более надежному соблюдению требований.
  • Используя клиент PAM в качестве доверенного PEP на хосте, вы можете применять его для более продвинутых возможностей PAM, таких как согласование паролей в реальном времени, делегирование учетных данных для DevOps и аутентификация через посредника.

Больше информации в материале Centrify по ссылке

Why a Client-Based Approach to PAM is Critical for Least Privilege and Just-In-Time Access

Just-in-Time (JIT) is a term you’ll hear from many Privileged Access Management (PAM) vendors used in the context of a best practice – the Principle of Least Privilege (PoLP)

With a proper least privilege approach, your admins have zero administrative rights. Thus, they need some means of obtaining elevated rights only when the need arises. JIT access allows them to do this, facilitated by a self-service request/approval workflow.

This least privilege approach incorporating JIT access can be a powerful tool in your arsenal to help combat identity-based data breaches. I say “can be” because there’s a right way and a wrong way. Choosing the wrong path – while mitigating some risk – will still leave you overly exposed.

How to choose the right path is described in an article from Centrify