Just in Time-Bereitstellung vs. Just-in-Time-Privilege

Die JIT-Bereitstellung kann durch die Einrichtung von SSO zwischen dem Zieldienst und dem Identitätsanbieter konfiguriert werden. Sie können so gut wie jedes Protokoll für SSO verwenden, aber damit die Integration funktioniert, ist es wichtig, dass der Zieldienst JIT-Bereitstellung unterstützt. Viele große Service Provider wie Oracle, AWS und Adobe bieten JIT-Bereitstellung für ihre Anwendungen an.

Wenn sich ein neuer Benutzer bei einem Dienst anmeldet, sendet der Dienst eine SAML-Assertion-Anfrage an den Identitätsanbieter. Diese Anfrage enthält alle Informationen, die zur Erstellung eines neuen Benutzerkontos erforderlich sind, einschließlich der Anmeldeinformationen (z. B. Benutzername und Kennwort). Der Identitätsanbieter verifiziert die Identität des Benutzers und erstellt dann sein Konto.

Mit JIT-Bereitstellung können Administratoren von einer zentralen Stelle aus Autorisierungsrichtlinien auf Benutzer anwenden, die auf ihren Gruppen oder Rollen basieren. Wenn sich zum Beispiel ein neuer Entwickler bei einem Dienst mit aktivierter JIT-Bereitstellung anmeldet, gewährt ihm der Identitätsanbieter automatisch alle Berechtigungen der Rolle Entwickler.

SSO ist eine Authentifizierungstechnik, die es Benutzern ermöglicht, sich einmal anzumelden, um auf zahlreiche Dienste und Systeme zuzugreifen. JIT-Bereitstellung wird zusätzlich zu SSO eingesetzt, um den Prozess der Einbindung neuer Benutzer in ein System zu automatisieren.

SSO und JIT-Bereitstellung bieten ähnliche Vorteile. Beide Techniken verbessern die Anmeldeerfahrung. SSO sorgt dafür, dass Sie sich nicht mehrere Kennwörter merken müssen. Die JIT-Bereitstellung erreicht dies, indem sie es neuen Benutzern ermöglicht, sich ohne manuelle Bereitstellung anzumelden.

SSO und JIT-Bereitstellung unterscheiden sich darin, wo sie im Authentifizierungsprozess eingesetzt werden. SSO wird während der Anmeldephase des Authentifizierungsprozesses angewandt, während JIT-Bereitstellung in der Phase der Benutzererstellung aufgerufen wird.

JIT-Bereitstellung:

• Spart eine Menge Zeit, sodass sich Ihre Administratoren auf wichtigere Aufgaben konzentrieren können.
• Vermeidet die Gefahr von Fehlkonfigurationen durch die Automatisierung aller Schritte der Bereitstellung.
• Ermöglicht es neuen Benutzern, sich sofort im Netzwerk anzumelden und auf autorisierte Systeme zuzugreifen.
• Erhöht die Gesamtproduktivität, da die Benutzer sich jederzeit bei jedem autorisierten Dienst anmelden können.

Just-in-Time-Zugriff ist ein Sicherheitskonzept, das genehmigten Benutzern bei Bedarf für einen begrenzten Zeitraum privilegierten Zugriff gewährt. Administratoren können den JIT-Zugriff nutzen, um den Zugriff auf sensible Ressourcen auf einer detaillierteren Ebene zu verfolgen und zu steuern.

Just-in-Time-Bereitstellung dagegen ist eine Möglichkeit, einen Benutzer bei seiner ersten Anmeldung dynamisch zu registrieren. In Bezug auf Design und Philosophie ist es ein grundlegend anderer Ansatz als der JIT-Zugriff. Der Hauptzweck der JIT-Bereitstellung besteht darin, den Verwaltungsaufwand zu reduzieren, indem die Notwendigkeit einer manuellen Bereitstellung entfällt.

JIT-Zugriff und JIT-Bereitstellung können entweder zusammen oder unabhängig voneinander funktionieren. Beide Ansätze haben einige sich überschneidende Vorteile. Sowohl JIT-Zugriff als auch JIT-Bereitstellung ermöglichen es Administratoren, den privilegierten Zugriff einzuschränken, allerdings auf unterschiedliche Weise. In den meisten Fällen dienen JIT-Zugriff und JIT-Bereitstellung jedoch unterschiedlichen Anwendungsfällen.

Just-in-Time-Privilege ist eine weitere Variante des Just-in-Time-Paradigmas, die die dynamische Zuweisung und Entfernung von Privilegien von Benutzerkonten automatisiert. In einer Umgebung mit JIT-Berechtigungsrichtlinien werden erweiterte Berechtigungen nur vorübergehend an genehmigte Benutzer vergeben.

Die JIT-Berechtigung kann als zusätzliche Sicherheitsebene in einem Active Directory (AD) dienen. Active Directory ist aus IT-Infrastrukturen nicht wegzudenken. Es kontrolliert und regelt den Zugriff auf allen sensiblen Ressourcen in einem Unternehmensnetzwerk. Aus diesem Grund ist es oft ein bevorzugtes Ziel für Cyberangriffe wie die Eskalation von Privilegien.

Eine gängige Methode der AD-Privilegienerweiterung ist die Verwendung eines Resthashs. Ein Resthash ist ein Kennwort-Hash, der jedes Mal protokolliert wird, wenn sich ein Benutzer (privilegiert oder Standard) interaktiv bei einem System im AD anmeldet. Wenn ein böswilliger Akteur Zugriff auf den Resthash eines privilegierten Benutzers erhält, kann er in der gesamten Infrastruktur erweiterte Operationen durchführen.

JIT Privilege bietet eine Möglichkeit, diese Bedrohungen abzuschwächen, indem es sicherstellt, dass Privilegien nur auf Anfrage gewährt und unmittelbar nach der Nutzung wieder entzogen werden.

In einer traditionellen AD-Einrichtung werden die Berechtigungen in Active Directory gespeichert. Wenn Sie JIT Privilege verwenden, werden die Privilegien den Benutzern zum Zeitpunkt des Checkouts der Anmeldeinformationen dynamisch zugewiesen. Wenn zum Beispiel ein autorisiertes AD-Konto erweiterte Rechte benötigt, um eine Aktion durchzuführen, wird es vorübergehend einer privilegierten Gruppe hinzugefügt. Sobald der Vorgang abgeschlossen ist und der privilegierte Zugriff nicht mehr benötigt wird, wird die Gruppenzugehörigkeit des Kontos widerrufen und das Kennwort geändert.

Nehmen wir an, ein autorisierter Benutzer möchte eine privilegierte Operation durchführen, z. B. die Änderung einer netzwerkweiten Sicherheitsrichtlinie. In einer mit JIT Privilege gesteuerten AD-Einrichtung läuft dies folgendermaßen ab:

1. Es wird eine Anfrage für privilegierten Zugriff erstellt, um die Anmeldeinformationen eines privilegierten AD-Kontos zu überprüfen.
2. Die JIT Privilege-Lösung führt den Genehmigungs-Workflow aus. Wenn der Antrag genehmigt wird, wird das Benutzerkonto vorübergehend zu der entsprechenden privilegierten Gruppe hinzugefügt.
3. Der Benutzer kann dann das privilegierte Konto verwenden, um die netzwerkweite Sicherheitsrichtlinie zu ändern.
4. Sobald dies geschehen ist, checkt der Benutzer das Konto wieder in das System ein oder das Zeitfenster für die Anfrage läuft ab.
5. Der Vorgang wird dann automatisch rückgängig gemacht, d. h. die Mitgliedschaft in der privilegierten Gruppe wird widerrufen, das Konto wird deaktiviert und sein Kennwort geändert.

Die vorübergehende Bereitstellung von AD-Privilegien verringert die Wahrscheinlichkeit einer Hash-Kompromittierung erheblich. Selbst wenn es einem böswilligen Akteur gelingt, einen Resthash eines privilegierten AD-Benutzers abzurufen, kann er ihn nicht nutzen, da die Mitgliedschaft des Kontos aufgehoben und sein Kennwort geändert wurde.

Nein, JIT-Bereitstellung ist nicht dasselbe wie Zero Trust. Das Just-in-Time-Paradigma ist jedoch ein grundlegendes Konzept von Zero Trust. Ansätze wie Just-in-Time-Zugriff, Just-in-Time-Privilegien und Just-in-Time-Bereitstellung sind an den Grundprinzipien von Zero Trust ausgerichtet.

Zero Trust bedeutet, dass keine Entität in einem Netzwerk von Natur aus vertrauenswürdig ist und dass Zugriffsrechte immer nur vorübergehend zugewiesen werden. Just-in-Time-Zugriff und -Privilege erreichen dies, indem sie dynamisch temporären Zugriff auf Ressourcen zuweisen und sicherstellen, dass niemand unbegrenzten Zugriff auf etwas hat.

Da Administratoren Autorisierungsrichtlinien anwenden können, gewährleistet die JIT-Bereitstellung die Einhaltung des Least-Privilege-Prinzip, einem der wichtigsten Grundsätze von Zero Trust. Man könnte also sagen, dass JIT-Bereitstellung und Zero Trust Hand in Hand gehen, aber es wäre nicht fair, beides gleichzusetzen.