작동 원리
POLP에는 계정, 애플리케이션 및 디바이스에 해당 작업을 수행하는 데 필요한 액세스 및 권한만 부여해야 한다고 명시되어 있습니다. 이는 비즈니스 요구 사항과 기업 내 사용자, 디바이스 또는 애플리케이션의 목적에 따라 이러한 요구 사항을 식별하는 방식으로 작동합니다.
예를 들어 대부분의 직원은 자신의 역할을 수행하기 위해 자신의 컴퓨터에 대한 관리 액세스 권한이 필요하지 않으므로 POLP는 해당 액세스 권한이 없어야 한다고 명시합니다. 마찬가지로 재무 담당자는 HR 레코드나 IT 시스템에 액세스할 필요가 없으므로 액세스 권한을 부여해서는 안 됩니다.
POLP는 상승된 권한에 대한 액세스를 필요한 작업에 제한하는 데에도 적용됩니다. 예를 들어 IT 관리자는 일부 직무를 수행하기 위해 권한 있는 액세스 권한이 필요할 수 있습니다. 그러나 일상적인 작업에는 권한이 없는 계정을 사용해야 하며 지정된 작업에 필요한 경우에만 권한 있는 계정을 사용해야 합니다.
최소 권한의 중요성
에 따르면 2021년 Verizon 데이터 침해 조사 보고서(DBIR)데이터 침해의 약 70%는 권한 남용과 관련이 있습니다. 이는 회사 리소스에 대한 합법적인 액세스 권한이 있는 계정이 중요한 데이터에 액세스하고 반출하는 데 사용되었음을 의미합니다. 이는 손상된 계정, 계정 소유자의 부주의 또는 내부자 위협 때문일 수 있습니다.
POLP는 사용자, 애플리케이션 등에 부여된 권한을 제한하여 권한 남용의 위험을 제한하는 데 도움이 됩니다. 계정에 역할을 수행하는 데 필요한 권한만 있는 경우 해당 권한을 남용할 수 있는 기능이 제한됩니다. 고객 데이터베이스에 대한 합법적인 액세스 권한이 있는 계정 또는 애플리케이션이 여전히 해당 데이터베이스에 액세스하여 내부 레코드를 훔칠 수 있지만, 이는 기업의 모든 사용자 및 애플리케이션이 잠재적으로 그렇게 하는 데 사용될 수 있는 경우보다 훨씬 적은 위험입니다.
이점
POLP는 조직의 민감한 데이터 및 중요한 IT 리소스에 대한 액세스를 제한합니다. 이렇게 하면 조직에 다음과 같은 몇 가지 이점을 제공할 수 있습니다.
- 사이버 위험 감소: POLP를 구현합니다. 조직은 사용자, 애플리케이션 등이 회사 IT 리소스에 대해 갖는 액세스를 제한합니다. 이렇게 하면 계정 또는 애플리케이션을 손상시킨 공격자가 해당 액세스 권한을 사용하여 목표를 달성하기가 더 어려워집니다. 예를 들어 고객 데이터베이스에 대한 액세스 권한이 없는 계정은 해당 데이터베이스에서 중요한 데이터를 훔치고 반출하는 데 사용할 수 없습니다.
- 오류 감소: 모든 중단 및 데이터 침해가 악의적인 행위자에 의해 발생하는 것은 아닙니다. 기술적이지 않은 사용자의 부주의나 단순한 실수로 인해 컴퓨터에 멀웨어가 설치되거나 데이터베이스 레코드가 삭제되는 등의 문제가 발생할 수 있습니다. POLP를 사용하면 중요한 리소스에 대한 사용자의 액세스가 제한되어 우발적인 감염, 누출 또는 중단 가능성이 제한됩니다.
- Increased Visibility: POLP를 구현하려면 "모두 허용" 정책이 아닌 제한을 적용하기 위해 조직의 액세스 제어 시스템에 대한 가시성을 높여야 합니다. 이렇게 가시성이 향상되어 잠재력을 감지하는 데 도움이 될 수 있습니다 cyberattacks 또는 주의가 필요할 수 있는 기타 사건.
- Simplified Compliance: 컴플라이언스 감사의 범위는 규정에 의해 보호되는 데이터에 액세스할 수 있는 사용자 및 시스템으로 제한되는 경우가 많습니다. POLP를 구현하고 비즈니스 요구 사항에 따라 이러한 액세스를 제한함으로써 조직은 컴플라이언스 책임 및 감사의 범위를 축소하여 컴플라이언스를 더 쉽게 달성하고 입증할 수 있습니다.
조직에서 최소 권한을 구현하는 방법
POLP는 다음 단계를 통해 구현할 수 있습니다.
- 권한 감사 수행: POLP를 구현하는 좋은 첫 번째 단계는 사용자, 애플리케이션 및 디바이스가 조직 내에서 가지고 있는 현재 액세스 및 사용 권한을 감사하는 것입니다. 조직에 어떤 자산이 있고 어떻게 사용되는지 식별하면 필요한 액세스 권한을 결정하는 데 도움이 될 수 있습니다.
- 역할 정의: 비즈니스 요구 사항 및 기존 권한에 따라 권한 관리를 위한 역할을 정의합니다. 예를 들어, 재무 직원이 업무를 수행하기 위해 액세스해야 하는 시스템, 소프트웨어, 데이터 등을 식별하고 해당 액세스 권한을 재무 역할에 포함시킵니다.
- 관리 액세스 제한: 대부분의 직원은 일상 업무에 관리자 수준의 액세스 권한이 필요하지 않습니다. 기본 관리자 액세스 권한을 제거하고 필요한 경우 상승된 권한을 얻기 위한 프로세스를 정의합니다.
- 역할 기반 권한 롤아웃:Roll out role-based permissions: 역할 및 권한을 정의한 후 이를 사용자, 애플리케이션 및 시스템에 롤아웃하여 POLP를 구현합니다.
- Access Monitoring 배포: 액세스 모니터링은 권한 남용 또는 잘못 정렬된 권한을 감지하는 데 매우 중요합니다. 모니터링을 설정하면 조직에서 사용자에게 할당된 권한이 너무 제한적이거나 너무 일반적인지 감지하는 데 도움이 됩니다.
- 검토 및 수정: 역할 및 권한의 정의는 처음에는 완벽하지 않을 수 있으며 시간이 지남에 따라 변경될 수 있습니다. 할당된 역할, 액세스 및 권한을 주기적으로 검토하고 필요에 따라 변경합니다.
Harmony Connect를 통한 최소 권한
효과적 으로 제로 트러스트 구현 POLP에는 액세스 제어를 지원할 수 있는 도구가 필요합니다. 예를 들어 VPN(가상 사설망)은 합법적인 사용자에게 회사 네트워크에 대한 무제한 원격 액세스를 제공하도록 설계되었기 때문에 제로 트러스트 또는 POLP에 적합하지 않습니다.
Check Point’s Harmony Connect 다음을 통해 POLP 호환 보안 원격 액세스 제공 zero trust network access (ZTNA)를 SASE 솔루션의 일부로 사용합니다. 자세히 알아보기 조직에서 Zero Trust Remote Access를 구현하는 방법에 대해 설명합니다. 당신도 환영합니다 무료 데모 신청하기 of Harmony SASE to learn about deploying POLP for your distributed workforce.
피드백