Inhaltsübersicht
在网络安全领域,最低特权原则也被称为最低特权访问(LPA)。. 从本质上讲,这是一种来自安全世界的概念。, 有最低限度的特权. 对任何实体(人类用户或自动化过程)的访问, 需要许可才能使用应用程序),而且这与组织的风险目标是一致的。.
这个过程被称为“特权蠕变”。, 失去对权限数量的控制, 由特定用户为其工作或执行任务而拥有的. 简单地说,当用户不再需要访问某个应用程序时, um seine Arbeit zu erledigen, 那么这个特权应该被撤销。, 创造一个尽可能安全的环境.
某些用户可能会获得更多的权限和更高级别的访问权限, 作为其当前职能或责任的正当理由. Das kann passieren, 例如,当为临时作业授予访问资源的权限时, 但一旦订单完成,就不会再被撤回.
同样,职业职责的改变可能导致特权和特权的积累。, 不再需要的人. LPA自动化可以帮助实现这一目标, 应对特权升级等挑战,并解决以下因素:
Das Konzept von Zero Trust 主要基于各种验证方法. 在这种安全场景中,用户永远无法做到这一点。, einfach Zugriff zu erhalten, 未经核实. 最常见的验证技术类型是多因素身份验证(MFA)。. 这通常是通过输入硬件密钥来完成的。, 接收认证短信和/或输入唯一代码, um Zugriff zu erhalten.
另一方面,最低特权是一种程序, 用户在本质上是可信的,并且在访问应用程序或程序期间受到验证- d. h. 它不需要通过安全检查就可以访问.
LPA很重要,因为它有助于保持网络尽可能安全。. 这是通过限制权限的数量来实现的。, 需要网络用户工作. 这样,特定的用户就不会被赋予过多的权限。, aber es ist oft verständlich, wie er sie erhalten konnte.
网络环境,特别是在大公司中,通常是非常广泛的。. 因此,了解用户需要的确切权限并不总是容易的。. Wenn Sie nicht genau wissen, 新用户长期需要哪些权限, 可在这种情况下提供额外的特权, 他将来需要它, sinnvoller sein.
Wenn das System – oder das Endgerätt -一个用户被妥协,有一个 Angreifer 访问所有不必要的用户升级权限. 这可能会让攻击者有可能 Ransomware-Angriff durchzuführen, 通过使用窃取的权限, um von System zu System zu springen, 这样他就可以很容易地搜索网络,找到他想要的 Daten zum Verschlüsseln und Exfiltrieren finden kann.
每个网络安全团队都在努力扩大特权. 这似乎是困难的,如果不是不可能的话。, 成功管理大规模过度权限. 这个问题的任何解决方案都必须能够做到这一点。, 建立正常活动的基线. 这可以通过跟踪一段时间内的实际活动来实现。.
一旦基线确定, 可以将此正常活动与授予特定实体的权限关联起来. 然后可以自动调整权限。, 符合组织的LPA政策.
LPA bietet zahlreiche Vorteile. Ein 身份和访问管理计划(IAM), 一个更广泛的访问类别, unter die das Konzept LPA fällt, 是任何现代安全程序的重要组成部分.
引入“最低特权”原则的一个关键好处是,它将使消费者受益。 Angriffsfläche des 在不显著降低生产率的情况下限制网络. 让我们来看看最低特权访问模型的其他一些好处:
团队可以设置和管理LPA。, 通过设定最低特权, 为实现公司的风险目标所必需的. 此外,他们还可以:
LPA ist ein nie endender Prozess, 需要根据组织中的角色和权限不断评估权限级别. 通过识别特权账户和一些有针对性的应对措施,可以 CIEM工具(云基础设施标题管理) )使组织更安全.