Just-in-Time-Zugriffsverwaltung (JIT) — oder auch Just-in-Time-Privileged Access Management (JIT PAM) — bezeichnet die bedarfsgesteuerte und zeitgebundene Gewährung von privilegierten Zugriffen oder Berechtigungen. Der Zugriff endet oder wird widerrufen, nachdem ein festgelegter Zeitraum abgelaufen ist oder bestimmte Bedingungen erfüllt sind. Ein Just-in-Time-Zugriffsmodell beinhaltet die Unterbindung von dauerhaft aktiven Zugriffsrechten, die als „permanente Zugriffsprivilegien“ kategorisiert werden.
In den meisten Organisationen besteht Klarheit darüber, dass autorisierte Benutzer nur begrenzte Zugriffsrechte haben sollten. Im Rahmen eines Sicherheitskonzepts wie Just Enough Access (JEA) lassen sich Nutzerrechte beschränken. Echte Least-Privilege-Strategien kombinieren beide Modelle (JEA + JIT), um ein Höchstmaß an Sicherheit zu erreichen. Durch Entzug von Administratorrechten und zeitliche Begrenzung von Zugriffen lassen sich Zero-Trust-Kriterien umsetzen.
Auf Unternehmensseite reduziert sich die Angriffsfläche massiv, wenn Mitarbeitern nur die tatsächlich benötigten Nutzerrechte gewährt werden. Viele IT-Verantwortliche übersehen allerdings den hohen Sicherheitsgewinn durch Just-in-Time-Berechtigungen, die den Zeitraum für mögliche Bedrohungen erheblich verkürzen. Die Kombination beider Modelle minimiert potenzielle Angriffsschritte und Zugriffsmöglichkeiten auf Privilegien, die zur Durchführung und Erweiterung von Attacken erforderlich sind.
Vier Herausforderungen für Unternehmen
Aktuell kämpfen Organisationen vor allem mit den folgenden Herausforderungen:
1. (Zu) viele Konten mit unnötigen Privilegien und Berechtigungen
Im Unternehmen kann es sich leicht um Zehntausende Konten für Active Directory, Entra ID, Okta, PingOne, AWS, Windows, macOS oder Linux handeln. Außerdem gibt es unzählige SaaS-Anwendungen, die zur Ausbreitung von Berechtigungen beitragen — wie zum Beispiel Microsoft 365, Google Cloud, Google Workspace, Workday, Marketo oder Tableau, um nur einige zu nennen.
2. Ist-Zustand bei permanenten Zugriffsprivilegien
Es gibt keine Just-in-Time-Bereitstellung von Zugangsrechten — die Konten verfügen entweder über alle Berechtigungen und sind immer aktiv, oder sie verfügen nicht über die benötigten Privilegien. In der Cloud ist der Normalfall, dass permanente Zugriffsprivilegien gewährt werden und sich diese Berechtigungen weiter verteilen, oft ohne dass die IT-Sicherheitsabteilung sie überwachen oder überhaupt erkennen kann.
3. Privilegien und blinde Flecken
Unternehmen haben eine alarmierend unvollständige Sicht auf digitale Identitäten und Konten mit (potenziell) erhöhten Zugriffsrechten. Moderne, hybride Cloud-Umgebungen verfügen in der Regel über eine hohe Anzahl an Nutzerberechtigungen, die sich auf unterschiedlichste Ebenen (AD-Zugriffsgruppen beispielsweise) verteilen. IT-Sicherheitsverantwortliche gehen möglicherweise davon aus, dass sie einen vollständigen oder nahezu vollständigen Überblick haben. Eine genauere Analyse ihrer IT-Umgebung offenbart aber zumeist, dass sie tatsächlich nur einen schockierend kleinen Teil einsehen und die unerkannte Angriffsfläche erhebliche Risiken verursacht.
4. Fehlender Kontext bei privilegierten Risiken
Ohne die benötigte Transparenz lassen sich die Auswirkungen einer Kompromittierung bei privilegierten Konten nur schwer bestimmen. Das damit verbundene Ausbreitungspotenzial und die daraus resultierenden, privilegierten Zugriffswege durch laterale Angriffsbewegungen sind riesig.
Just Enough Access (JEA) oder Just-in-Time-Zugriff (JIT)?
Least-Privilege-Management bedeutet im ursprünglichen Sinn, dass Privilegien oder privilegierte Zugriffe für Benutzer, Prozesse, Anwendungen und Systeme auf das tatsächlich benötigte Maß – und nicht mehr – beschränkt werden. Diese Anforderungen lassen sich mit unterschiedlichen Technologien und Strategien wie Firewalls oder Systemhärtung umsetzen — Privileged Access Management (PAM) bleibt wohl die wichtigste und effektivste davon, insbesondere auf der Ebene digitaler Identitäten.
Ein PAM-Ansatz bei der Begrenzung von Zugriffsrechten ist äußerst effektiv, um die Bedrohungsfläche zu reduzieren. Wie unser jährlicher Microsoft Vulnerabilities Report dokumentiert, hätten durch Aufhebung von Administratorrechten im Schnitt 75 Prozent der kritischen Microsoft-Schwachstellen entschärft werden können. Allein aus dieser Zahl wird das enorme Potenzial zur Minimierung von Risiken deutlich, wenn nur die tatsächlich benötigten Zugriffsrechte gewährt und das Prinzip der geringsten Rechte durchgängig umgesetzt worden wäre.
Aktuell spielt der Missbrauch und/oder missbräuchliche Einsatz von Privilegien noch bei fast jedem Sicherheitsvorfall eine maßgebliche Rolle. Zum Teil liegt das daran, dass viele Unternehmen nicht einmal grundlegende Least-Privilege-Vorgaben implementiert haben. Auch fehlt vielen Unternehmen häufig die notwendige Wirksamkeit ihrer Least-Privilege-Kontrollen in der Praxis, weil kein Just-in-Time-Zugriffsmodell eingesetzt wird. Für ein solches Sicherheitsmodell ist ein höheres Maß an Automatisierung und Orchestrierung erforderlich.
Die Vorteile von Just-in-Time-Zugriffen
Durch Implementierung von JIT PAM kann sichergestellt werden, dass digitale Identitäten und Konten nur dann über die entsprechenden Berechtigungen verfügen, wenn diese erforderlich sind. Für einen möglichst störungsfreien Betrieb lässt sich dieser Prozess vollständig automatisieren, sodass Endanwender davon gar nichts mitbekommen.
Der Just-in-Time-Zugriff schränkt die Dauer ein, in der ein Konto über erhöhte Berechtigungen, Zugriffsrechte und sonstige Privilegien verfügt, um das Zeitfenster drastisch zu minimieren, in dem Bedrohungsakteure mit geraubten Kontoberechtigungen agieren können. Das betreffende Konto ist solange inaktiv, bis es tatsächlich benötigt wird — und damit gibt es auch keinen privilegierten Zugang, bis er benötigt werden.
Privilegierte Always-On-Konten bleiben dagegen wöchentlich 168 Stunden (jeweils 24 Stunden an sieben Tagen der Woche) aktiv. Durch Umstellung auf einen Just-in-Time-Ansatz bei der Verwaltung privilegierter Zugriffe können Sie diese Zeitspanne auf wenige Stunden oder sogar Minuten reduzieren — in Abhängigkeit davon, wann die Konten verwendet werden müssen.
Das Gefahrenpotenzial eines Always-On-Kontos im Vergleich zu JIT-fähigen Konten haben wir in der folgenden Grafik visualisiert.
Auf die Risikominderung im Unternehmen wirkt sich dies in mehrfacher Hinsicht aus.
Die wichtigsten Vorteile der Just-in-Time-Steuerung:
- Reduziertes Cyber-Risiko — Das Zeitfenster für privilegierte Bedrohungen und Angriffe kann um mehr als 90 Prozent minimiert werden. Die Folge: Ein niedrigeres Gesamtrisiko und weniger Gefahren durch Cyberbedrohungen wie Ransomware, Malware, Insider-Angriffe und mehr.
- IT-Compliance-Einhaltung — Ein Least-Privilege-Konzept und eingeschränkte Zugriffsprivilegien sind wichtige Bestandteile gesetzlicher oder branchenspezifischer IT-Compliance-Frameworks. Darüber hinaus minimieren Just-in-Time-Berechtigungen und -Zugriffe die Anzahl privilegierter Sitzungen, was die Überwachung privilegierter Aktivitäten erleichtert.
- Qualifikation für Cyberversicherungen — Die Durchsetzung des Least-Privilege-Prinzips ist eine grundlegende Sicherheitskontrollmaßnahme, die von den meisten Cyberversicherern bei der Qualifikation für Versicherungspolicen eingefordert wird. Cyberversicherungsunternehmen empfehlen JIT-Zugangskontrollen zur Eingrenzung von Cyberbedrohungen und Minimierung von Risiken.
- Weniger Arbeitsaufwand — Die JIT-Zugriffsautomatisierung vermeidet manuelle Prozesse und gibt Empfehlungen für die Umsetzung. Angesichts von Zehntausenden Cloud-Berechtigungen wäre eine dynamische Bestimmung und Bereitstellung manuell auch gar nicht möglich. Der JIT-Zugriff stattet Benutzer problemlos und zeitgenau mit den benötigten Zugriffsrechten aus.
So funktioniert JIT PAM
Beim Just-in-Time-Zugriffsmodell werden die erforderlichen Berechtigungen oder Cloud-Privilegien für eine genehmigte Aufgabe automatisch bereitgestellt und anschließend widerrufen, wenn die Arbeit abgeschlossen oder das Zeitfenster für den autorisierten Zugriff abgelaufen ist.
Privilegien werden einem Konto niemals fest zugeordnet — wird eine Berechtigung angefordert, müssen die erforderlichen Kontextparameter eingehalten werden, die durch unternehmensspezifische Richtlinien, Analysen und Informationen bestimmt sind. Dazu gehören beispielsweise die Quell-IP-Adresse, Geolokalisierungsdaten, die Gruppenzugehörigkeit und das Host-Betriebssystem sowie im Arbeitsspeicher hinterlegte Anwendungen, dokumentierte Schwachstellen und andere Risiken. Auf Basis einer beliebigen Kombination dieser Merkmale kann der Zugriff auf JIT-Konten gewährt oder widerrufen werden, um Geschäftsanforderungen einhalten und Risiken minimieren zu können.
Bei der klassischen JIT-PAM-Bereitstellung werden Zugriffe im Regelfall nur innerhalb einer einzelnen Domäne aktiviert. Der JIT-Zugriff kann also beispielsweise für einen Administrator aktiviert werden, um bestimmte Active-Directory-Aufgaben auszuführen. Beim JIT-Privileged-Access-Modell kann ein Benutzer dagegen mehrere aufeinanderfolgende oder gleichzeitige JIT-Anforderungen auslösen, um eine Aufgabe innerhalb einer vielfältigen DevOps-Umgebung zu erledigen.
Die folgende Darstellung zeigt exemplarisch, wie ein Just-in-Time-Workflow für Cloudberechtigungen über eine Self-Service-Anforderung abläuft:
Bei der Aktivierung von JIT-Zugriffen gibt es mehrere Methoden mit jeweils eigenen Anwendungsfällen. Hier ein kurzer Überblick:
1. Zuweisung von JIT-Privilegien — Dem Konto wurden individuelle Privilegien, Freigaben oder Berechtigungen zugeordnet, um eine Aufgabe auszuführen. Die Rechte werden widerrufen, sobald die Arbeit abgeschlossen ist, wobei überprüft werden sollte, dass keine weiteren Berechtigungen verändert wurden.
2. Erstellen und Löschen von JIT-Konten — Das Erstellen und Löschen eines privilegierten Kontos ist nach Erreichung der Ziele möglich. Zum Zwecke der Forensik und Protokollierung sollte das Konto über Merkmale verfügen, um die anfragende Identität oder den Dienst, die den Vorgang durchführen, zurückverfolgen zu können.
3. JIT-Gruppenzugehörigkeit — Konten lassen sich zu einer privilegierten Admin-Gruppe für die Dauer der zugewiesenen Aufgabe automatisch hinzufügen und entfernen. Das Konto sollte nur dann zu einer Gruppe mit erhöhten Rechten hinzugefügt werden, wenn die entsprechenden Anforderungen erfüllt sind. Nach Erledigung der Aufgabe wird die Gruppenzugehörigkeit widerrufen.
4. JIT-Deaktivierung von Administratorkonten — Deaktivierte Administratorkonten sind im System mit allen Privilegien, Freigaben oder Berechtigungen zum Ausführen einer Funktion abrufbar. Nach Ausführung einer bestimmten Aufgabe und unter Einhaltung der geforderten Kriterien werden sie deaktiviert. Dieses Konzept unterscheidet sich nicht von Always-On-Administratorkonten, mit Ausnahme der Nutzung nativer Aktivierungsfunktionen, die den JIT-Zugriff steuern.
5. JIT-Identitätswechsel — Ein betreffendes Konto ist mit einem oder mehreren Administratorkonten verknüpft. Wird eine bestimmte Anwendung oder Aufgabe ausgeführt, wird die Funktion mit erhöhten Rechten per Admin-Anmeldeinformationen ausgeführt. In der Regel erfolgt dies über Automatisierung oder Skripting mit Windows „RunAs“ oder *Nix SuDo. Endbenutzer bemerken den Identitätswechsel auf das andere Konto dabei nicht, wobei sich der Prozess mit der Delegierung privilegierter Always-On-Konten überschneiden kann.
6. JIT-Tokens — Das privilegierte Token der Anwendung oder Ressource wird vor der Injektion im Betriebssystemkern verändert. Das Least-Privilege-Prinzip kann so auf Endpunkten angewandt werden, um Berechtigungen und Prioritäten einer Anwendung zu erhöhen, ohne Endbenutzern erhöhte Rechte zu gewähren.
Anwendungsbeispiele für Just-in-Time-Zugriffsprivilegien
Die häufigsten Anwendungsfälle bei der Einführung eines Just-in-Time-Zugriffsmodells im Unternehmen:
- Privileged Remote Access: Remote-Benutzern (Mitarbeitern, Drittanbietern etc.) wird der Zugriff auf die entsprechenden privilegierten Befehle und Funktionen für eine begrenzte Zeitdauer gewährt.
- Zugriff auf DevOps-Umgebungen: Zugriffe sind auf bestimmte Funktionen beschränkt, um den Umfang potenzieller Aktivitäten im System kontrollieren und einen Verstoß gegen die Anforderungen verhindern zu können. Das kann die unmittelbare Generierung von Secrets oder SSH-Schlüsseln beinhalten, um einen kurzlebigen Zugriff zu ermöglichen.
- Notfallszenarien: Bei einem Notfall oder einem unerwarteten Ausfallszenario kann ein JIT-Modell den Sofortzugriff auf wichtige Ressourcen ermöglichen, damit ein Team das Problem schnell analysieren und beheben kann.
- Temporäre Projekte: JIT-Zugriffe sind sinnvoll, um bei kurzfristigen Projekten oder Kooperationen temporären Zugriff (für Entwickler, Marketing, Personalabteilung und andere Rollen) auf Cloud-Ressourcen zu gewähren.
Die aktuellen Erweiterungen beim JIT-Cloud-Berechtigungsmanagement bedeuten, dass die Implementierung kurzlebiger Zugriffe nicht nur die Sicherheit für einen Großteil der Mitarbeiter verbessert, sondern auch in hohem Maße praxisnah und skalierbar ist.
Least-Privilege-Umsetzung mit BeyondTrust
Sie würden gerne erfahren, wie BeyondTrust Ihr Unternehmen dabei unterstützen kann, das Prinzip der geringsten Rechte nahtlos in Ihre Cloud- und On-Premises-Umgebungen zu implementieren und eine Minimierung von Risiken zu ermöglichen? Dann kontaktieren Sie uns gerne direkt, um weitere Informationen zu erhalten.
![Photograph of Sam Elliott](https://assets.beyondtrust.com/assets/images/user-photos/_people/Sam-Elliot.jpg?auto=format&q=80)
Sam Elliott, Director of Security Product Management
At Bomgar, Sam is responsible for the product management group that is driving product strategy for Bomgar’s security products. He has more than a decade of information security, ITSM, and IT operations management experience. He also is a seasoned expert in the areas of cyber-security, data center discovery, systems configuration management, and ITSM. Sam has a Bachelor of Science from Florida State University and is certified in ITIL v3 and Pragmatic Marketing. He resides in Atlanta, GA with his family and can be found on twitter @samelliott.