最低权限访问实际上是什么意思?

安全资讯 小布 584浏览 0评论

如果您像大多数 IT 或安全专业人员一样,管理用户访问的复杂性似乎比以往任何时候都更难。跟踪访问权限、角色、帐户、权限、权利、凭证和特权是永无止境的——有时甚至是吃力不讨好的——提议。

而且它比以往任何时候都更具风险。事实上,根据《2021 年数据泄露成本报告》,被盗凭证是“最常见的初始攻击媒介”,是“20% 的泄露事件的罪魁祸首,平均泄露成本为 437 万美元”。

由于凭证泄露是大多数数据泄露的最初原因,因此增强安全协议和实施强大的身份和访问管理(IAM) 策略——包括最小特权原则 (PoLP)——是一个必不可少的工具也就不足为奇了。组织的整体风险管理战略。让我们花一些时间来定义什么是最小权限,并探讨它与当今组织内的访问管理、身份治理和特权访问管理之间的关系。

定义最小权限原则及其与访问的关系

简单地定义,最小权限原则是一种安全控制,它要求用户仅拥有执行其工作职能所需的最低访问级别,而不能更多。它基于限制网络和多平台环境中的特权的基本概念,并实施可靠的、预定义的身份治理策略来限制对数据、系统和资产的访问。

最小特权原则通常被称为最小特权访问,因为它取决于向执行其工作所需的个人授予最少的特权。但作为一个综合的策略框架,最低权限访问也扩展到了设备、应用程序、程序、机器人身份和系统。最低权限访问在保护和管理跨基础架构的访问方面发挥着关键作用。它通常与零信任安全模型结合使用,在这种模型中,用户所需的访问量最少,并且在证明有必要之前不会授予访问权限。此访问要求的演示尽可能频繁地进行,因为一旦授予和使用访问权限,就应该恢复到其零信任状态。

由于受损凭证通常是数据泄露的切入点,因此采用最小权限原则有助于降低与身份相关的访问风险,方法是限制威胁行为者在各种特权帐户上立足的能力,这些帐户 本来就拥有更高的数据访问权限或您的业​​务中的服务。简而言之,采用最小权限访问限制了凭证被盗用的机会和机会——尤其是那些“掌握着你数据的钥匙”的权限,几乎没有跟踪或控制。

如果不强制执行最低权限访问,会发生什么情况?

最小特权原则是创建正确身份和访问管理框架的基础。它对加强风险管理和缩小与身份相关的访问风险的差距大有帮助。最低权限访问使组织能够降低这些风险、增强安全性、提高合规性并提高效率。

然而,根据2021 年身份和访问管理报告,77% 的组织报告用户拥有比所需更多的访问权限。这让他们很容易受到对整个网络的敏感数据、应用程序或系统的未经授权访问的影响——即使未经授权的访问不是有意的,也不是由威胁行为者发起的。

事实上,根据 2021 IAM 报告,组织表示未经授权访问最常见的负面结果包括业务活动中断 (22%)、系统停机 (21%)、员工生产力降低 (20%) 和 IT 资源部署分类和修复问题 (19%) 等。由于访问风险的不同领域和威胁参与者进入的途径如此之多,因此了解持续实施最低权限访问在解决这些风险中所起的作用至关重要。

强制执行最低权限访问的两种关键方法

今天的组织通常通过结合身份治理解决方案和特权访问管理工具来强制执行最小特权原则。这些解决方案共同支持整体 IAM 安全框架,这对于在您的业务中实施最低权限访问至关重要。让我们来看看这些解决方案可以帮助您更好地实施最低权限访问并确保您只为用户提供他们需要的访问权限的两种方式。

#1:保护特权账户

有效管理特权访问已成为许多寻求保护其数据和系统免受未经授权用户攻击的组织的首要任务。这是因为不适当的访问可能会暴露有价值的组织数据,破坏敏感信息,并对系统可靠性产生不利影响。但是通过对特权帐户的完全控制,IT 和安全团队可以帮助在关键系统开始之前防止对它们的内部和外部攻击。

特权访问管理 (PAM) 是一种必不可少的安全控制,它使组织能够简化其跨 IT 系统、应用程序和基础架构定义、监控和管理特权访问的方式。只有少数 PAM 解决方案,如核心特权访问管理器 (BoKS),集中管理管理员配置文件,并限制未经授权的用户执行本机特权命令。通过提供对特权帐户委派的精细控制,您可以强制执行哪些命令可以按角色执行——消除密码共享并确保通过仅向用户提供他们需要的访问权限来更好地实施最低权限访问。

利用全面的特权访问管理安全方法是对抗内部威胁的理想选择,因为它定义了谁可以访问系统的每个部分并指定他们可以使用该访问做什么。这使您能够详细跟踪管理员和帐户活动,甚至可以防止直接访问特权命令,因此您可以具体确定谁做了什么。

#2:优先考虑基于角色的访问

基于角色的访问控制 (RBAC) 是一种用于安全管理用户访问的身份治理方法,该方法根据已建立的角色分配和限制访问。它使组织能够利用预定义的访问策略,确定每个用户需要的访问权限并确定要授予或删除的访问权限。在大多数情况下,RBAC 与最小特权原则一起使用,其中定义的角色包括完成必要工作要求所需的最低访问级别。

使用角色,组织可以制定可靠的、预定义的和预先批准的访问策略,并具体了解每个人需要哪些访问权限,以及授予和删除哪些访问权限。角色不一定直接与某人的头衔或职位相关联,而是由他们需要的访问权限定义。根据 2021 IAM 报告,60% 的组织将基于角色的访问控制视为其业务中最关键的 IAM 功能。但是,最多只有 48% 的人在设计角色的能力方面有些有效。

在您的业务中采用基于角色的访问方法可以简化身份治理,尤其是随着您的业务增长或变化——无论是通过用户生命周期中的个人变化、劳动力的季节性增加还是更多的机构变化,如兼并和收购。Plus 角色使您能够更快速、更准确地执行业务友好的访问审查和认证。

转载请注明:布尔云安的博客 » 最低权限访问实际上是什么意思?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址