一直以来,特权账号因其分布广、数量多的特点,导致造成企业管理员无法全面掌握特权账号动态情况。同时,随着越来越多的企业将部分基础设施迁移到云,过多访问权限给系统带来了极大的安全隐患。
云环境依赖身份作为安全边界,但当身份如雨后春笋般涌现时,身份管理漏洞就将成为企业的首要威胁。用户通常拥有跨越众多资源和设备的多个身份,如果攻击者设法破坏或盗取身份并在云环境中站稳脚跟,那么攻击者就可以在整个云环境中横向移动,通过破坏目标组织网络中的其他主机来扩展访问权限并保持持久性,对企业资产和资源造成更大的损害。
解决云中大型攻击面和不必要风险的方法之一就是实现即时(JIT)特权访问,该方法限制了被授予特权访问的时间和资源,即使攻击者破坏或盗取了身份,JIT也可以防止特权升级并降低攻击者在网络中横向移动和扩大其恶意行为的可能性。
简单来说,JIT仅授予暂时特权访问权限,并可以在相关任务完成后撤销该访问权限。其基于一个包含时间因素的最小特权框架结构,因此用户仅在特定时间被授予了权限来执行特定任务及访问其所需资源。也就是说,在默认情况下,JIT能够尽可能多的消除过多特权,进一步改善安全状况。
正如Verizon 《2022年度数据泄露调查报告》中所说的:凭据可能是所有网络环境中最薄弱的环节,在过去五年中,被盗凭据的使用量增长了约30%。由于大部分违规行为都可以追溯到凭据盗窃或是滥用,因此限制账户泄露的潜在范围将对提高安全性产生巨大作用。
如何实现 JIT 访问
企业首先要明确用户是谁、他们拥有哪些特权以及他们需要哪些特权,包括他们是人类身份还是计算机身份。用户是工程师还是开发人员、是管理员还是安全人员?
之后,企业可以通过自动化JIT访问审批流程来简化IT管理员和最终用户的工作流程,这里介绍一些最佳实践可帮助安全团队实现自动化 JIT:
• 自助服务门户:自助服务门户可以自动批准特权访请求并跟踪审批过程,同时启用自动化权限管理,还可以满足企业的合规性审计,为企业排除潜在的违规违法风险,防止潜在风险扩大。
• 针对低风险请求自动执行策略:涉及低风险活动的简单请求(例如在非生产环境中工作)IT管理员无需花费过多时间审核就可以及时授予用户访问权限,提高企业运营效率。
• 为流程的每个步骤设置管理员:自动化不等于放弃对业务流程的控制,流程的每个步骤(审查请求、监视实施和撤销权限等)都需要设置一个管理员,并且面对更复杂和敏感的请求也需由人工审查和批准。