最小特权原则在网络安全社区中也被称为最小特权访问(LPA)。. 安全领域的这个概念本质上规定了授予任何实体(人类用户或自动化流程)的最小权限(或访问权限),这些实体需要使用应用程序来实现其目标,并且还符合组织的风险目标.
特权蔓延是指失去对特定用户为完成其工作或完成任务而维护的权限数量的控制的过程. 简单地说, 如果用户不再需要访问某个应用程序来完成他们的工作, 然后应该撤销该权限,以尽可能维护环境的安全.
在这种情况下, 某些用户获得并拥有比其当前工作角色或职责实际授权的更多权限和更高级别的访问权限. 这可能会发生, 例如, 为短期临时工作分配而授予访问资源的权限, 但当工作任务结束时,不会被拒绝.
类似的, 工作职责的变更可能导致该人员不再需要的特权和权限的聚合. 自动化LPA可以帮助解决特权蔓延等挑战,以及:
的概念 零信任 primarily relies on verification of different methods. In this security scenario, 如果不进行某种类型的验证检查,用户将永远无法简单地获得访问权限. 最常见的验证技术类型是多因素身份验证(MFA). This usually comes in the form of inputting a hardware key, receiving an authenticating text message, 和/or inputting a one-time code so they can gain access.
最小特权, 另一方面, 在用户需要访问应用程序或程序的一段时间内,用户是否获得了内在的信任和验证——这意味着他们不必克服任何安全验证措施来获得访问权限.
LPA非常重要,因为它有助于保持网络尽可能的安全. 它通过限制网络用户完成其工作所需的权限数量来实现这一点. 以这种方式, a specific user doesn’t end up with excessive permissions, but it’s often underst和able how they could.
网络环境, particularly in large enterprises, are often extremely large in scale, 和 it’s not always easy to know the exact permissions users will need. 类似的, 当您不确定新用户长期需要哪些权限时, 在将来他们可能需要这些权限的情况下,过度配置可能会更方便.
如果用户的系统-或 端点 – were to be compromised, a 威胁的演员 是否有权访问用户所有不必要的升级权限. This could enable that 威胁的演员 to potentially enact a ransomware攻击 通过利用窃取的特权从一个系统跳到另一个系统,这样他们就可以轻松地搜索网络并找到想要的 要加密的数据 和漏出.
Privilege creep happens to every security organization, 而且,希望成功地管理大规模的过度权限似乎很困难——如果不是深不可测的话. 这个问题的任何解决方案都需要能够建立一个正常活动的基线, 哪些可以通过在一段时间内跟踪实际活动来完成.
Once a normal baseline has been established, 该正常活动可以与授予给定实体的权限相关联, 并且可以自动调整权限以遵循组织的LPA指导方针.
The benefits of LPA are vast. An identity 和 access management (IAM) 程序, 关于获取的一个更广泛的范畴,LPA的概念属于这个范畴, is a critical component of any modern security 程序.
建立最小特权原则的一个关键好处是,它基本上锁定了网络 攻击表面 without causing a significant slowdown in productivity. 让我们来看看最小权限访问模型的其他一些好处:
团队可以通过设置尽可能小的特权来建立和管理LPA,以实现组织的风险目标. 他们还可以:
LPA is a never-ending process, 需要根据组织角色和权限对特权级别进行持续评估. With over privileged account discovery, 和 some guided remediation, cloud infrastructure entitlement management (CIEM) tools can help organizations move toward a stronger security posture.