Just-in-Time privilegovaný přístup – dočasný přístup jen tehdy, když je potřeba

Just-in-Time (JIT) Privileged Access uděluje administrátorům a dodavatelům zvýšená oprávnění pouze na dobu nezbytnou pro konkrétní úkol. Žádné „always-on“ účty, žádná trvalá administrátorská práva – přístup vzniká na vyžádání a po skončení se automaticky odebere.

Vyžádat demo Více informací

Zero Standing Privileges – žádné trvalé admin účty
Schvalovací workflow s automatickou časovou platností
Plný audit každé session a NIS2/ISO 27001 compliance

Proč Just-in-Time přístup?

Méně stálých privilegií = menší útočná plocha a silnější compliance.

Minimální útočná plocha

Žádné trvale aktivní admin účty a sdílená hesla. Útočník ani zkompromitovaný uživatel nemá co zneužít – oprávnění jednoduše neexistují, dokud nejsou schválená.

Rychlé schválení bez tření

Automatizovaný workflow nebo policy-based schválení (např. při ticketu v ServiceNow/Jira) – administrátor dostane přístup během sekund, ne hodin.

Compliance a least privilege

JIT je přímou implementací principu least privilege (POLP) vyžadovaného NIS2, ISO 27001, SOC 2 i zákonem o kybernetické bezpečnosti. Každý přístup je zdůvodněný, časově ohraničený a auditovaný.

Klíčové funkce JIT řešení

Vše potřebné pro dočasný privilegovaný přístup – od žádosti přes schválení až po audit.

Granulární privilegia (POLP)

Uživatel dostane přesně jen ta oprávnění, která potřebuje pro konkrétní úkol – např. restart služby na jednom serveru, ne doménový admin na celý AD.

Přístup na vyžádání

Žadatel vyplní důvod a požadované cílové systémy. Schválení lze automatizovat podle policy, eskalovat na manažera nebo vázat na ticket v ITSM.

Schvalovací workflow

Víceúrovňové schvalování, čtyřoční princip (4-eyes), notifikace přes e-mail/Teams/Slack. Schvalovatel vidí kontext – kdo, proč, kam a na jak dlouho.

Automatické odebrání oprávnění

Po uplynutí času (např. 2 hodiny) nebo po dokončení úkolu se oprávnění automaticky odeberou, účet se deaktivuje a heslo zrotuje – bez ručního zásahu.

Audit a monitoring sessions

Každá JIT session je zaznamenaná – žádost, schválení, aktivita a ukončení. Video záznam RDP/SSH, keystroke logging a strojově čitelný audit log pro SIEM.

Integrace s AD, Vault i ITSM

Napojení na Active Directory, Entra ID, LDAP, Password Vault, SIEM (Splunk, Sentinel) i ticketing systémy (ServiceNow, Jira) – přístup provázaný s reálným procesem.

Jak JIT přístup funguje

Čtyři fáze životního cyklu dočasného privilegovaného přístupu.

1. Žádost a zdůvodnění

Uživatel požádá o zvýšení oprávnění – uvede cílový systém, důvod, požadované akce a dobu trvání. Součástí může být i odkaz na ticket v ITSM.

2. Schválení (manuální nebo policy)

Žádost posoudí schvalovatel nebo ji automaticky vyhodnotí policy engine podle rizika, času, IP, MFA a kontextu. Možnost 4-eyes schválení pro nejcitlivější systémy.

3. Dočasný privilegovaný přístup

Systém vytvoří dočasný účet (ephemeral account) nebo dočasně přidá uživatele do skupiny. Session je spuštěná přes PAM bránu, nahrávaná a monitorovaná.

4. Automatické odebrání a audit

Po uplynutí času se oprávnění odeberou, účet se deaktivuje, heslo zrotuje. Celý životní cyklus včetně záznamu session je k dispozici pro audit a SIEM.

Typy Just-in-Time přístupu

Tři hlavní modely, které lze kombinovat podle scénáře a rizika.

Justification-Based Access

Uživatel si vyžádá přístup k účtu v Password Vault s textovým zdůvodněním. Po schválení získá dočasně heslo (nebo single sign-on session) na definovanou dobu, heslo se poté zrotuje.

Temporary Elevation (PEDM)

Standardní uživatelský účet dočasně získá vyšší oprávnění – např. spuštění konkrétní aplikace jako admin, přidání do skupiny Domain Admins na 30 minut. Po vypršení doby se vše vrátí do původního stavu.

Ephemeral Accounts (Zero Standing Privileges)

Pro daný úkol vznikne jednorázový účet s potřebnými právy, který po skončení session přestane existovat. Ideální pro externí dodavatele, audit nebo incident response.

S čím JIT spolupracuje

Just-in-Time přístup se napojuje na vaši existující infrastrukturu – identity, tickety, vault i SIEM.

Active Directory / Entra ID / LDAP

Dočasné přidávání a odebírání ze skupin, vytváření ephemeral účtů, synchronizace identit z AD/Entra ID a LDAP adresářů.

Password Vault a rotace

Heslo se při schválení přístupu vydá ze šifrovaného trezoru a po skončení session automaticky zrotuje – uživatel ho ani nevidí.

ITSM – ServiceNow, Jira, Zoho

JIT žádost se váže na reálný ticket. Bez otevřeného a schváleného ticketu není přístup povolen – 1:1 napojení na change management.

SIEM – Splunk, Sentinel, QRadar

Strojově čitelné audit logy, real-time streamování událostí a alerty při anomáliích – každá JIT session je viditelná v SOC.

MFA a adaptivní ověření

Každá JIT žádost i zahájení session vyžaduje silné MFA (TOTP, push, FIDO2). Kontextová politika (IP, lokace, zařízení) zesílí vysoce rizikové operace.

Cloud – AWS, Azure, GCP

JIT přiřazování cloudových rolí (AWS IAM, Azure PIM, GCP IAM) na dobu nezbytně nutnou. Ideální pro DevOps, SRE a přístup ke critical workloads.

Časté otázky k Just-in-Time přístupu

Klasická oprávnění jsou „always-on“ – administrátor má práva 24/7, i když je zrovna nepotřebuje. JIT přístup tato práva dává pouze na dobu nezbytnou pro konkrétní úkol (Zero Standing Privileges). Pokud dojde k úniku přístupových údajů, útočník nemá co zneužít – oprávnění v ten moment neexistují.

Ano, to je jeden z nejtypičtějších scénářů. Pro každý požadavek (ticket) vznikne ephemeral účet, který po skončení práce zanikne. Žádné sdílené účty, žádná „zapomenutá“ oprávnění po odchodu dodavatele, plný audit každé session.

JIT je přímou implementací principu least privilege (POLP), který tyto normy vyžadují. Prokazatelně zajišťuje, že privilegovaný přístup je časově omezený, zdůvodněný, schválený a auditovaný – přesně podle požadavků článků NIS2 o řízení přístupu a ISO 27001 A.9 / A.12.

Při správném nastavení ne. Rutinní operace lze schválit automaticky podle policy (např. podle rolí, časových oken nebo napojení na ticket). Manuální schválení vyžadují pouze vysoce rizikové akce – a i tam trvá schválení řádově sekundy díky push notifikacím.

Ano. JIT žádost lze svázat s konkrétním ticketem – bez schváleného ticketu není přístup povolen. Po dokončení práce se ticket automaticky uzavře s metadaty o čase přístupu, vykonaných příkazech a dotčených systémech.