什么是即时访问（Just-In-Time Access, JIT）？

准时访问管理旨在尽量减少对敏感资源的访问时间和范围。简单来说，用户的访问权限应该只在有需求时才会被授予，并且访问时间也应该是有限的，一旦时间到期，访问权限就会失效。

这有助于提升安全性，因为可以减少凭证被滥用而导致未经授权的访问风险。同时，这种解决方案还能满足合规性要求，因为它能够清晰地记录所有的访问事件。下面我们来详细了解一下“即时访问解决方案”究竟是什么，以及它有哪些好处。

什么是即时访问呢？

即时的访问方式a 特权访问管理（PAM）一种能够协调用户、应用程序或系统的访问权限的策略。在需要时，可以持续一段时间使用。它减少了特权账户处于活跃状态的时间窗口，从而降低了该账户被滥用或误用的风险。

JIT访问方式遵循“最小权限原则”，即仅授予用户执行特定任务所需的有限权限。由于访问权限是随时间变化的，因此这种模型可以应用于所有账户中，从而确保没有任何用户拥有永久性的权限。这种方法与“始终可用”或“持续授权”的方式不同，在那种模式下，用户无论是否需要某种资源，都可以持续无限制地访问这些资源。

管理员权限对黑客来说具有极大的吸引力，因为这些权限使他们能够执行各种网络攻击。黑客会利用各种手段来绕过安全措施，从而获得这些权限。因此，零信任政策越来越被采用，而即时访问就是这种策略中的一项重要手段。

主要要点/核心内容

• 即时访问是一种特权访问管理机制，它为用户、应用程序或系统提供基于需求的临时访问权限。
• 它提升了安全水平，简化了访问流程，有助于满足合规性要求，同时还能保护用户凭据，并简化对特权账户的管理工作。
• JIT访问方式通过最小化攻击面以及提高用户权限管理的透明度，从而降低了网络安全风险。
• 要有效实施即时访问功能，就需要制定合适的访问控制策略。应重点关注那些具有高级权限的账户，确保凭证存储在安全的存储库中，同时建立有效的监控系统。

准时访问是如何工作的呢？

JIT访问方式要求组织采用零权限管理策略。这意味着需要明确界定网络边界，并记录用户的权限级别以及这些权限应在何种情况下被使用。对于公司来说，这通常意味着必须放弃之前使用的权限管理模型，转而采用JIT访问方式。

典型的JIT工作流程包括用户参与其中。请求访问权限它涉及到某种工作资源、服务器、网络或某种特权。该请求被提交以供审批：当这种请求是自动处理的时。该系统会根据安全策略来决定是否授予该权限。否则的话，就是……手动确认由管理员执行。

在获得批准之后，用户将会获得相应的资源或访问权限。完成一项任务所需的固定时间在任务完成后，访问权限已被撤销。用户必须再次经历审批流程。

由于不会传递任何敏感凭证，因此这些凭证不会被泄露，从而减少了攻击的切入点。即便存在恶意行为者能够破解系统密码的情况，时间敏感的机制也能让这些密码变得不再有效。

对于您的企业来说，准时制访问的重要性

随着数据泄露事件变得越来越频繁且成本越来越高，各家企业正在探索更好的方法来防范网络风险。泄露客户的敏感数据并不是任何公司都愿意看到的，因为这会给品牌带来不可挽回的损害。此外，这种行为还可能导致各种法律费用以及监管部门的罚款。

由于当前基础设施的外包性质，确保现代企业的安全性也变得越来越困难。影子IT资源、云计算以及传统解决方案相互交织在一起，这为黑客提供了可乘之机。因此，用户权限管理就变得非常重要了。这是一个需要更多关注和保障安全的关键领域。.

准时化的访问供应方式能够减少攻击面，从而降低企业需要应对的风险。此外，自动化的访问供应以及更完善的凭证处理机制，有助于让企业更接近“零信任”设计理念。提升了组织的透明度。因为每个用户的访问请求都会被记录下来。

准时访问的类型

虽然听起来好像都是相同的，但实际上，及时访问的方式可以有多种实现方式。以下是几种常见的及时访问方式。

基于正当性的访问控制

这种访问控制方式，也被称为“授权与撤销访问”机制。使用一个或多个特权账户这些系统会将用户的凭证存储在一个安全的存储设备中。用户必须说明为何需要访问特定系统，以及需要访问的时间长度。一旦管理员批准了这些请求，用户的凭证就可以被使用了。

2. 临时账户

在这种设置下，不存在任何处于特权状态的账户。相反，临时特权账户正在被创建中。根据需求来分配，使用后会自动失效。用户因此可以获得这个临时账户，以完成特定的任务。

在需要较高权限来完成某项任务时，必须提前申请访问权限。当需要使用低级别账户或第三方用户来访问某个资源时，这种方式最为有效。如果特权账户被无人监管地留在系统中，就会构成严重的网络安全风险。临时账户可以通过设定访问期限来解决这个问题。

3. 临时提升

也被称为“特权提升”。当用户提出请求时，它会为该用户账户提供一定时间的更多权限。当时间到期时，所额外授予的权限将被撤销，用户将恢复为标准的权限状态。该请求始终包含关于任务预计完成时间的说明。

临时性的、有时间限制的访问权限仅在需要时才会被授予用户，这样可以降低风险与暴露程度。当任务完成或时间到期之后，访问权限就会自动被撤销。

准时访问所带来的好处

通过采用“即时访问控制”方式，可以消除那些始终存在的特权访问行为，从而确保更高的安全性。数据只有在有正当理由的情况下才能被访问。以下是“即时访问控制”所带来的主要好处：

提升了组织的安全状况。

动态特权模型提升了组织的网络安全状况，同时降低了各种风险。这样，未经授权的访问途径就减少了。

较小的攻击面更容易被保护，因此，通过采用JIT技术来最小化攻击面，有助于实施更严格的访问控制。一旦任务完成之后，这些访问权限也会被撤销。

2. 简化访问流程

处理特权访问请求可以实现自动化。这能够节省网络管理员的时间。研究表明，JIT确实能够提高运营团队以及最终用户的生产效率。

用户能够更快地获得必要的访问权限，而管理员则不必等待审批流程的完成。因为通过身份与访问管理解决方案，无论用户的地理位置如何，特权访问请求都可以被自动批准。这样一来，员工的工作效率就不会受到任何影响。

3. 支持合规性要求

JIT访问的实现方式可能会有所不同。对企业的合规经营有积极的影响。由于JIT是一种实现最小权限访问的方法，因此它有助于满足合规性要求，同时也有助于与审计报告保持一致。

由于 JIT 实施方式消除了所有具有长期访问权限的用户，并用受控的特权会话来替代这些用户，因此数据安全性得到了更好的保障。此外，这种实施方式还使得组织能够获取详细的审计日志，从而可以详细了解所有的网络活动情况。

4. 介绍凭证保护机制

JIT系统为处理凭证的复杂性提供了安全保障。一旦用户获得访问权限，系统会将这些凭证存储在加密的存储空间中。用户并不知晓这些凭证的具体内容，但可以使用它们。

已经使用的密码可以被更换，同时还可以创建或禁用新的账户。当攻击者试图通过窃取密码来攻击系统时，系统可以使得该账户及其权限失效。

5. 简化了特权账户的管理工作。

有效实施的 JIT 访问方式意味着，每次访问都有明确的开始、结束时间以及固定的持续时间。此外，系统中没有拥有特权权限的账户，这简化了密码管理流程，从而避免了需要重新设置或恢复密码等繁琐操作。JIT 访问方式还可以与公司的身份与访问管理系统无缝集成，从而实现 privileging 控制的自动化和简化流程。

许多凭证管理功能都可以被自动化处理，比如凭证的轮换、删除等。管理员不必参与每一个操作步骤，这样就能让服务在无需人工干预的情况下正常运行且高效运作。

JIT方式的缺点

虽然按需访问是一种很好的解决方案，它有助于企业严格控制用户的权限，但JIT也并非没有缺点。可能会出现一些错误，而且这种管理方式也并不万无一失。

配置错误带来的风险

JIT系统可能会面临配置错误的风险就像其他网络安全工具一样，如果显示的时间过长，那么凭证轮换政策就会失效，整个系统也就无法正常运行了。同样，这种情况也会产生一些“停滞的凭证”，黑客可以利用这些凭证来渗透组织，而不会被任何人察觉。因此，需要建立各种自动化机制来处理这些风险。

对提供方的依赖

如果某个组织使用了第三方JIT系统，那么就有可能面临被逼入绝境的风险。严重依赖服务提供商的服务这可能会以各种难以预料的方式影响您的组织。例如，如果系统中存在漏洞，而供应商没有及时通知客户，那么该组织可能会因为对安全性的错误理解而受到威胁。因此，在采用任何解决方案之前，进行彻底的调查是必要的。

需要进行一些内部的重组工作。

由于用户访问与大多数工作功能息息相关，因此这一点非常重要。这是最难实施的一次改进措施之一。需要删除那些已经使用的、用于访问系统的账户。同时，还需要引入基于“即时授权”原则的权限管理系统。不过，这一过程可能会给网络管理员带来很大的压力，因为需要花费一定的时间来准备相关的基础设施，而且员工们也需要一段时间来适应这种新的管理方式。整个过程可能会面临相当大的挑战。

如何实现即时访问呢？

在计划转向准时制交付方式时，有一些值得注意的良好实践。

1. 明确访问需求。

首先，需要编制一份关于组织内各个角色的详细清单。确定哪些角色需要访问特定的资源，然后根据“最小权限原则”来定义所需的访问级别。这些访问级别可以包括：

• 只读访问：允许用户查看或读取数据，但无法对其进行修改。适用于那些需要监控或审计功能的角色。
• 写入权限：能够修改、添加或删除与数据输入、更新或开发任务相关的数据。这些数据对于负责这些工作的人员来说非常重要。
• 行政权限：通常，管理权限仅限于IT支持岗位。拥有管理权限的人可以完全控制系统和应用程序，包括修改配置、管理用户账户以及安装软件等操作。

2. 制定控制政策

JIT解决方案与基于属性的访问控制等补充性解决方案能够很好地结合在一起。