什么是即时访问？

实时访问时一种特权访问管理 (PAM) 实践，即人类和非人类用户在指定时间段内实时提升权限并执行特定任务的权限。这可以确保所有授权的用户只有在需要时才能访问特权系统、应用和数据。组织可以使用实时访问来限制对特定资源的发给嫩，并防止内部和外部威胁行为者对特权的滥用，而不是授予永远在线或永久的特权。

继续阅读，详细了解实时访问以及如何用它来保护组织的网络。

实时访问如何运作

当人类或非人类用户需要访问业务敏感资源的权限时，它们会向管理员或自动化系统提出请求。然后，请求将通过批准流程来验证特权访问请求是否有效。请求获批后，管理员或自动化系统将授予用户实时访问权限，其中用户对特权帐户的权限将在有限时间内提升，直到用户完成任务。任务完成后，用户将注销，其访问权限将被撤销或删除，直到他们再次需要此类权限。

实时访问的重要性

实时访问对于帮助强制实施最小访问权限十分重要。最小权限原则是网络安全概念，允许用户对组织的系统和数据网络获得完成本职工作所需的访问权限，仅此而已。最小访问权限隔离病限制对组织资源的访问。用户只能访问其工作所需的内容，除非是特定任务所需且获得批准，否则不应访问任何其他内容。通过实时访问，组织可以授予用户临时访问的权限并予以撤销，以确保能够访问组织敏感资源的用户数量达到最少状态。

通过使用实时访问来支持最小权限访问，组织可以减小其攻击面并保护机密数据。攻击面是指网络犯罪分子可以用来获得对组织网络的未经授权的访问的所有潜在进入点。通过将特权访问限制在预先确定的时间，组织可以限制过度访问，并减少其网络的潜在进入点。这可以确保组织的机密数据仅由授权用户访问，并且仅限于必要时访问。

实时访问类型

以下是组织可以用于提供临时特权访问的三种实时访问类型。

代理和删除放权限

代理和删除访问，也被称为基于合理性的访问，要求用户证明在规定的时间内获得特权访问权限的合理性。这些用户将拥有一个固定的、享有特权的共享帐户和凭证，这些帐户和凭证将在用户无法访问的中央保险库中进行管理、保护和轮换。这可以确保特权凭证不被滥用。

临时帐户

临时帐户是一次性使用的帐户，可为用户提供完成特定任务所需的有限权限。管理员将为低级别或第三方用户创建短期的一次性使用帐户，以访问他们所需的资源。临时帐户可赋予用户临时访问权限，直到工作完成。在工作完成后，帐户将自动禁用或删除。这可以防止组织长时间赋予低级别或第三方用户对敏感资源的访问权限，否则此类资源很容易被利用。

权限提升

权限提升，也叫作临时提升，是指用户请求获得更高级别的特权访问权限，用以执行特定任务。请求由自动化系统或由管理员手动批准并授予权限，并详细说明任务完成所需的时间。获批后，用户即可在有限的时间内访问特权帐户或执行特权命令。到期后，用户的访问权限将被删除。

实施实时访问权限的优势

以下是实施实时访问权限的优势。

改善安全态势

实时访问通过限制对敏感资源的访问并降低安全漏洞的风险，来改善组织的安全态势。通过限制对组织敏感资源的特权访问，组织可以防止外部威胁行为者滥用特权以及恶意内部威胁。实时访问可确保用户无法滥用特权，并防止用户在组织的网络内横向移动，访问高度敏感系统、应用和数据库。

改善管理员的工作流程

借助实时访问，管理员可以通过在用户需要时为其提供访问敏感资源的权限，来改善访问工作流程，而非必须经过漫长的审查流程才能获得对长期特权帐户的完整访问权限。实时访问有助于自动批准请求和撤销权限。

帮助遵守合规要求

组织需要遵守行业和监管合规要求，如 SOX 和 GDPR，其中它们需要监控并审计特权用户的活动。实时访问可限制特权用户的数量，并为组织提供对所有特权活动的审计追踪。

如何实施实时访问

如需实施实时访问，组织需要遵循以下步骤：

使用自动化密码保险库来维护一个长期的特权共享帐户，该保险库集中管理并定期轮换凭证。
创建精细的策略，要求人类和非人类用户提供请求临时访问敏感资源的具体细节和正当理由。
临时授予提升的权限，允许人类和非人类用户访问特定的敏感资源，或在有限时间内执行特权命令。
记录并审计所有特权帐户的权限，以检测并响应可疑行为和不寻常的活动。