Baik itu masuk ke email, menyediakan mesin virtual, atau mengakses platform CRM, Manajemen Identitas dan Akses (IAM) adalah tulang punggung kerja digital.
Namun, seiring dengan pertumbuhan organisasi, pengendalian yang dimaksudkan untuk melindungi identitas ini sering kali gagal mengimbangi skala, kecepatan, dan kompleksitas lingkungan saat ini.
Titik hambatan umum dalam lanskap ini adalah pemberian akses sementara, atau akses Just-In-Time (JIT), ke aplikasi sensitif. Tim TI sering kali terjebak di tengah-tengah: unit bisnis mengharapkan akses segera untuk menjaga produktivitas, sementara tim keamanan dan auditor menuntut tidak adanya kesenjangan dan jalur yang jelas.
Artikel ini mengeksplorasi alur kerja Tines yang dirancang untuk mengatasi tantangan khusus ini: Berikan Akses Aplikasi Sementara. Alur kerja membantu tim menyeimbangkan kecepatan dan keamanan melalui orkestrasi.
Masalahnya: penskalaan akses sama dengan penskalaan risiko
“Meningkatkan akses sama dengan meningkatkan risiko,” kata Stephen McKenna, Teknisi Operasi TI di Tines baru-baru ini postingan blog tentang orkestrasi IAM. Setiap peristiwa “yang bergabung, yang pindah, atau yang keluar” melahirkan serangkaian perubahan.
Di banyak organisasi, perubahan ini ditangani secara manual di seluruh sistem tambal sulam. Beberapa aplikasi terhubung ke Sistem Masuk Tunggal (SSO) dengan cepat, sementara aplikasi lainnya memerlukan penyediaan manual.
Ketika pengguna memerlukan akses JIT, mungkin pengembang memerlukan akses produksi untuk debugging, atau kontraktor memerlukan entri untuk proyek tertentu, proses manualnya sering kali terlihat seperti ini:
- Waktu Respons Lambat: Pengguna mengirimkan tiket, yang berada dalam antrian sampai analis melihatnya.
- Creep Hak Istimewa Permanen: Setelah akses diberikan, analis sering kali lupa untuk mencabutnya. Akses “sementara” menjadi permanen, sehingga menyebabkan akumulasi hak istimewa yang dapat dieksploitasi oleh penyerang.
- Mimpi Buruk Audit: Bukti siapa yang menyetujui akses, kapan diberikan, dan kapan dicabut tersebar di email, pesan Slack, dan komentar tiket.
Tanpa orkestrasi, akun akan tetap ada dan hak istimewa akan menumpuk.
Bagaimana Orkestrasi Membentuk Kembali Infrastruktur TI
Pelajari bagaimana tim IT Ops modern menggunakan orkestrasi untuk mengelola kapasitas, meningkatkan keandalan, dan menskalakan infrastruktur tanpa kehabisan tenaga.
Panduan praktis ini menunjukkan cara mengganti alur kerja manual dengan operasi otomatis yang dapat diprediksi menggunakan alat yang sudah Anda miliki.
Solusinya: penyediaan otomatis dan terikat waktu
Itu Berikan alur kerja Akses Aplikasi Sementara mengotomatiskan seluruh siklus hidup permintaan akses JIT.
Dengan mengatur alat seperti Jira Software, Okta, dan Slack, alur kerja memastikan bahwa akses diberikan dengan cepat, disetujui dengan benar, dan, yang paling penting, dicabut secara otomatis ketika waktunya habis.
Berikut ini ikhtisar cara kerja alur kerja:
1. Permintaan Layanan Mandiri Daripada mengirim email atau DM, pengguna mengunjungi Halaman Tines—formulir web sederhana yang dapat diseret dan dilepas. Mereka memilih aplikasi yang mereka perlukan (misalnya, “AWS Production Console”), durasi akses yang diperlukan (misalnya, “2 jam”), dan justifikasi bisnis.
2. Perutean Persetujuan Otomatis Setelah diserahkan, Tines secara otomatis mengidentifikasi manajer pengguna atau pemilik aplikasi. Ini mengirimkan pemberitahuan kaya melalui Slack (atau Microsoft Teams) ke pemberi persetujuan tersebut. Pesan ini berisi rincian permintaan dan tombol interaktif “Setujui” atau “Tolak”.
3. Penyediaan Instan Jika disetujui, alur kerja memicu panggilan API ke Okta. Itu menambahkan pengguna ke grup Okta tertentu yang terkait dengan aplikasi itu. Hal ini terjadi secara instan—tidak diperlukan klik manual oleh admin TI. Secara bersamaan, tiket dibuat atau diperbarui di Perangkat Lunak Jira untuk mencatat persetujuan untuk tujuan kepatuhan.
4. “Waktu Istirahat” Ini adalah langkah keamanan yang penting. Alur kerja memasuki status “menunggu” selama durasi yang ditentukan oleh pengguna (misalnya 2 jam).
5. Pencabutan Otomatis Setelah penghitung waktu berakhir, Tines bangun dan melakukan pembersihan. Ia memanggil API Okta lagi untuk menghapus pengguna dari grup, sehingga secara efektif mencabut akses. Terakhir, ia memperbarui tiket Jira menjadi “Tertutup” dan memberi tahu pengguna melalui Slack bahwa sesi mereka telah berakhir.
Manfaatnya
Penerapan alur kerja cerdas ini memberikan manfaat langsung pada tiga pilar utama:
- Hak Istimewa Terkecil yang Ditegakkan: Dengan mengotomatiskan pencabutan akses, Anda menghilangkan risiko “akun yang tersisa”. Akses diberikan hanya pada waktu yang dibutuhkan, sehingga mengurangi permukaan serangan.
- Kepatuhan Siap Audit: Setiap langkah—permintaan, persetujuan, penyediaan, dan pencabutan—dicatat secara otomatis di Jira. Saat auditor meminta bukti kontrol akses, Anda memiliki satu sumber kebenaran tanpa harus mencari tangkapan layar.
- Peningkatan Pengalaman Pengguna: Pengguna mendapatkan akses dalam hitungan menit, bukan hari. Mereka tidak perlu menunggu admin kembali dari makan siang untuk mengklik tombol di Okta.
- Efisiensi: Analis TI terbebas dari pekerjaan “klik-operasi” yang berulang-ulang untuk menambah dan menghapus pengguna dari grup, sehingga memungkinkan mereka untuk fokus pada tugas keamanan yang bernilai lebih tinggi.
Mengonfigurasi alur kerja
Anda tidak perlu memulai dari awal. Alur kerja ini tersedia sebagai cerita yang dibuat sebelumnya di Perpustakaan Tines.
Langkah 1: Impor Cerita: Kunjungi Perpustakaan Tines dan cari Berikan akses aplikasi sementara. Klik “Impor” untuk membawa template ke penyewa Anda.
Langkah 2: Hubungkan Alat Anda: Alur kerjanya bergantung pada Kredensial untuk berkomunikasi dengan alat eksternal Anda. Anda harus terhubung:
- Okta: Untuk mengelola keanggotaan grup.
- Perangkat Lunak Jira: Untuk melacak permintaan dan persetujuan.
- Kendur: Untuk pemberitahuan dan pesan persetujuan interaktif.
Langkah 3: Konfigurasikan Halaman Tines: Buka elemen “Halaman” di alur kerja. Anda dapat mengkustomisasi bidang formulir agar sesuai dengan aplikasi spesifik organisasi Anda. Misalnya, Anda dapat membuat menu tarik-turun yang mencantumkan “Admin Salesforce”, “Akses Tulis AWS”, dan “Admin GitHub”.
Langkah 4: Tetapkan Kebijakan Anda: Sesuaikan logika agar sesuai dengan kebijakan keamanan Anda. Anda mungkin ingin membatasi durasi maksimum menjadi 4 jam atau memerlukan persetujuan tingkat kedua untuk aplikasi yang sangat sensitif. Karena Tines fleksibel, Anda dapat menarik dan melepas blok logika tambahan ini langsung ke kanvas.
Langkah 5: Uji dan Publikasikan: Jalankan permintaan pengujian untuk memastikan notifikasi Slack diaktifkan dan perubahan grup Okta terjadi seperti yang diharapkan. Setelah diverifikasi, publikasikan Halaman dan bagikan tautannya dengan tim Anda.
Untuk mencoba sendiri alur kerja ini, Anda dapat mendaftar ke a akun Tines gratis.
Disponsori dan ditulis oleh Tines.
