来源：https://www.cyberark.com/what-is/just-in-time-access/

使用即时 (JIT) 访问方法（Just-In-Time Access），组织可以实时为提升人类和非人类用户提供对应用程序或系统的提升和细粒度提升特权访问，以便执行必要的任务。网络安全行业分析师建议将 JIT 访问作为一种通过最大限度地减少长期访问来提供安全特权访问的方式。

JIT 访问可帮助组织提供访问权限，以便用户仅在需要访问权限时才有权访问特权帐户和资源，其他时间则无权访问。组织可以使用 JIT 访问来限制在特定时间范围内对特定资源的访问，而不是授予永远在线（或常设）访问（或常设访问）。这种精细的方法通过显着减少网络攻击者或恶意内部人员在横向移动系统并未经授权访问敏感数据之前获得特权帐户访问权限的时间来降低特权帐户滥用的风险。

JIT 访问可以被视为一种用于强制执行最小权限原则的方式，以确保用户和非人类身份被授予最低级别的权限。JIT 访问还可以确保特权活动按照组织的身份访问管理 (IAM)、IT 服务管理 (ITSM) 和特权访问管理 (PAM)策略及其权利和工作流进行。任何 JIT 访问策略都必须使组织能够维护特权活动的完整审计跟踪。通过这种方式，组织可以轻松识别谁或什么获得了访问哪些系统的权限，他们在什么时间做了什么，做了多长时间。一些基于代理的特权访问管理 agent-based privileged access management解决方案为组织提供了额外的能力主动监控会话并实时终止有风险的特权会话。

一、即时访问的类型

代理并删除访问权限Broker and remove access。这种方法支持创建策略，要求用户提供在定义的时间段内连接到特定目标的理由。通常，这些用户拥有一个常设的特权共享帐户，并且该帐户的凭据在中央保管库中进行管理、保护和轮换。

临时账户Ephemeral accounts。这些是一次性使用的帐户，它们是即时创建的，并在使用后立即取消配置或删除。

临时提权Temporary elevation。这种方法允许临时提升权限，使用户能够访问特权帐户或按请求、定时运行特权命令。当时间到时，访问被移除。

二、如何启用即时访问

以下是启用 JIT 访问的典型工作流。请记住，用户一开始的访问权限为零——即默认情况下没有权限：

1、人类或非人类用户请求对服务器、虚拟机或网络设备的特权访问。

2、该请求根据预先批准的策略进行验证，或者由有权授予或拒绝短期特权访问请求的管理员审查。此审批流程可以自动化，以减少最终用户和运营团队的摩擦。

3、获得批准后，人类或机器用户将被提升到进入系统并执行其指定任务所需的访问权限。这种访问只能持续几分钟或几个月，具体取决于用户的特定任务和组织的治理策略。

4、任务完成后，用户注销并撤销或删除他们的访问权限，直到再次需要它为止。

三、为什么即时访问对您的组织很重要？

1、它通过显着降低威胁行为者滥用特权访问和横向移动的风险，帮助组织改善其整体网络安全状况。

2、它通过消除审查周期和等待天数的需要，同时仍保持当前工作流程，有助于简化管理员体验。

3、它通过最大限度地减少特权用户和特权会话的数量并提供所有特权活动的完整审计跟踪，帮助提高合规性并简化审计。

四、如何在您的组织中实施即时访问

为了实施即时访问，组织通常采取以下一个或一些步骤：

1、使用集中管理和定期轮换的凭据维护一个常设的特权共享帐户。

2、创建精细的策略，要求人类和非人类用户在特定时间段内为连接到包含敏感数据的目标系统和应用程序提供具体理由。

3、记录和审核所有临时帐户中的特权活动，并启用对异常行为或活动的警报和响应。

4、启用临时权限提升以允许人类和非人类用户访问特定的特权凭证和帐户或运行特权命令。

使用即时访问来强制执行最小特权原则是零信任的重要组成部分。零信任模型要求组织在授予访问权限之前验证所有尝试连接到系统的内容。随着许多组织加快其数字化转型战略，他们正在从传统的边界安全方法转向零信任框架，以保护其最敏感的信息和数据。