Topic Overview
最小特权原则在网络安全社区中也被称为最小特权访问(LPA)。. 安全领域的这个概念本质上规定了授予任何实体(人类用户或自动化流程)的最小权限(或访问权限),这些实体需要使用应用程序来实现其目标,并且还符合组织的风险目标.
特权蔓延是指失去对特定用户为完成其工作或完成任务而维护的权限数量的控制的过程. Simply put, 如果用户不再需要访问某个应用程序来完成他们的工作, 然后应该撤销该权限,以尽可能维护环境的安全.
In such circumstances, 某些用户获得并拥有比其当前工作角色或职责实际授权的更多权限和更高级别的访问权限. This might happen if, for example, 为短期临时工作分配而授予访问资源的权限, 但当工作任务结束时,不会被拒绝.
Similarly, 工作职责的变更可能导致该人员不再需要的特权和权限的聚合. 自动化LPA可以帮助解决特权蔓延等挑战,以及:
The concept of zero trust 主要依靠不同方法的验证. In this security scenario, 如果不进行某种类型的验证检查,用户将永远无法简单地获得访问权限. 最常见的验证技术类型是多因素身份验证(MFA). 这通常以输入硬件密钥的形式出现, 正在接收验证文本消息, 或者输入一次性密码,这样他们就能进入.
Least privilege, on the other hand, 在用户需要访问应用程序或程序的一段时间内,用户是否获得了内在的信任和验证——这意味着他们不必克服任何安全验证措施来获得访问权限.
LPA非常重要,因为它有助于保持网络尽可能的安全. 它通过限制网络用户完成其工作所需的权限数量来实现这一点. In this way, 特定的用户最终不会拥有过多的权限, 但人们通常可以理解他们是如何做到的.
Network environments, 特别是在大企业中, 通常规模非常大, 而且要知道用户需要的确切权限并不总是那么容易. Similarly, 当您不确定新用户长期需要哪些权限时, 在将来他们可能需要这些权限的情况下,过度配置可能会更方便.
If a user’s system – or endpoint – were to be compromised, 威胁参与者可以访问用户所有不必要的升级权限. 这可能使威胁行为者有可能实施 ransomware attack 通过利用窃取的特权从一个系统跳到另一个系统,这样他们就可以轻松地搜索网络并找到想要的 data to encrypt and exfiltrate.
特权蔓延发生在每个安全组织, 而且,希望成功地管理大规模的过度权限似乎很困难——如果不是深不可测的话. 这个问题的任何解决方案都需要能够建立一个正常活动的基线, 哪些可以通过在一段时间内跟踪实际活动来完成.
一旦建立了正常的基线, 该正常活动可以与授予给定实体的权限相关联, 并且可以自动调整权限以遵循组织的LPA指导方针.
LPA的好处是巨大的. An 身份和访问管理(IAM) program, 关于获取的一个更广泛的范畴,LPA的概念属于这个范畴, 是任何现代安全程序的关键组成部分吗.
建立最小特权原则的一个关键好处是,它基本上锁定了网络 attack surface 而不会导致生产力显著下降. 让我们来看看最小权限访问模型的其他一些好处:
团队可以通过设置尽可能小的特权来建立和管理LPA,以实现组织的风险目标. They can also:
LPA是一个永无止境的过程, 需要根据组织角色和权限对特权级别进行持续评估. 通过过度的特权账户发现和一些指导补救, 云基础设施授权管理(CIEM) 工具可以帮助组织走向更强大的安全状态.