implementing-just-in-time-access-provisioning

实施即时访问配置

概述

实施即时访问（JIT）配置以消除常设权限，仅在需要时授予临时、时限访问。本技能涵盖 JIT 架构设计、审批工作流、自动过期、与 PAM 和 IGA 平台的集成，以及与零信任原则的对齐。

目标

• 设计 JIT 访问请求和审批工作流
• 实施带自动过期的时限访问授权
• 配置基于风险的审批路由（低风险自动批准，高风险多级审批）
• 将 JIT 与 PAM 集成以实现特权访问提升
• 监控和审计所有 JIT 访问授权和使用情况
• 通过消除常设权限减少攻击面

核心概念

JIT 访问模型

1. 中介与移除：通过审批授予访问权限，在时间窗口后自动移除
2. 按需提升：用户拥有基础访问权限，按请求提升到特权级别
3. 账户创建/删除：创建临时账户，使用后销毁
4. 组成员资格切换：临时添加到特权组，自动移除

零常设权限（ZSP）原则

• 没有用户拥有永久特权访问
• 所有特权访问需要带业务理由的明确请求
• 访问在定义的时间窗口后自动过期
• 所有访问事件均被记录且可审计

实施步骤

步骤 1：识别合格的访问类型

• 特权管理员访问（域管理员、root、DBA）
• 生产环境访问
• 敏感数据访问（PII、财务、医疗）
• 紧急/破釜沉舟访问
• 第三方供应商访问

步骤 2：设计审批工作流

• 带理由要求的自助服务请求门户
• 预授权低风险访问自动批准（< 1 小时）
• 中等风险单一审批者（经理或资源所有者）
• 高风险双重审批（经理 + 安全团队）
• 带事后审查的紧急绕过

步骤 3：实施时限访问

• 按资源类型配置最大访问持续时间
• 实施带扩展请求能力的倒计时计时器
• 无论会话状态如何，到期时自动撤销
• 宽限期通知（到期前 15 分钟）
• 访问到期时自动终止会话

步骤 4：集成架构

• 连接到 IAM/IGA 平台进行配置/取消配置
• 与 PAM 集成以进行特权凭据检出
• 连接到 ITSM 进行工单关联
• 将事件转发到 SIEM 进行监控
• API 集成用于程序化访问请求

步骤 5：监控和合规

• 记录所有 JIT 请求、审批、授权和撤销
• 在访问超出批准范围时告警
• 跟踪未使用的访问（请求但从未连接）
• 测量平均访问时间（从请求到授权）
• 报告访问模式以进行基线优化

安全控制

控制项	NIST 800-53	描述
临时访问	AC-2(2)	自动化临时账户管理
最小权限	AC-6	时限最小访问
访问执行	AC-3	自动化访问授权/撤销
审计	AU-3	完整的 JIT 访问审计跟踪
风险评估	RA-3	基于风险的审批路由

常见陷阱

• 时间窗口设置过长，抵消了 JIT 的好处
• 未在到期时实施自动撤销
• 复杂的审批工作流导致合法需求的访问延迟
• 未为关键事件提供紧急绕过
• 未审计已批准但未使用的 JIT 访问

验证清单

• JIT 请求工作流端到端功能正常
• 访问在到期时自动撤销
• 所有风险级别的审批路由正确
• 紧急访问绕过可用并带事后审查
• 所有 JIT 事件已记录到 SIEM
• 常设权限减少了可量化的百分比
• 平均访问时间满足业务 SLA