運作方式
POLP 規定,帳戶、應用程式和裝置應僅被授予完成其工作所需的存取和權限。這是透過根據業務需求以及企業內用戶、裝置或應用程式的目的來識別這些要求來實現的。
例如,大多數員工不需要對自己的電腦的管理存取權來履行其角色,因此 POLP 表示他們不應該擁有這個權限。 同樣地,財務人員不需要訪問人力資源記錄或 IT 系統,因此不應該被授予他們。
POLP 也適用於限制對需要這些權限的任務對提高權限的存取權限。 例如,IT 管理員可能需要特權存取權才能執行某些工作職務。 但是,他們應該使用非權限的帳戶進行日常工作,並僅在特定任務需要時使用其特權帳戶。
最小特權的重要性
根據 2021 年威瑞遜數據外洩調查報告(DBIR),大約 70% 的數據洩露涉及權限濫用。 這意味著具有合法存取公司資源的帳戶已用來存取和擷取敏感資料。 這可能是由於入侵的帳戶、帳戶擁有者的疏忽或內部威脅。
POLP 透過限制授予使用者、應用程式等的權限來幫助限制權限濫用的風險。如果帳戶只擁有執行其角色所需的權限,則其濫用這些權限的能力會受到限制。 雖然對客戶資料庫具有合法存取權限的帳戶或應用程式仍然可以存取該資料庫並竊取其中的記錄,但與企業中的每個使用者和應用程式都可能被用來這樣做相比,這種風險較小得多。
福利
POLP 限制對組織的敏感資料和寶貴的 IT 資源的存取權限。 通過這樣做,它可以為組織提供多種好處,例如:
- 降低網絡風險: 通過實施 POLP。 組織限制使用者、應用程式等對公司 IT 資源的存取。這使得入侵帳戶或應用程式的攻擊者更難以使用該存取權限來實現其目標。例如,沒有客戶資料庫存取權的帳戶無法用於從該資料庫中竊取和擷取敏感資料。
- 錯誤更少: 並非所有中斷和數據洩露都是由惡意參與者引起的。 非技術用戶的疏忽或簡單錯誤可能會導致惡意軟體安裝在電腦上、資料庫記錄被刪除等。使用 POLP,使用者對關鍵資源的存取受到限制,從而限制意外感染、洩漏或中斷的可能性。
- Increased Visibility: 實施 POLP 需要提高組織的存取控制系統的可見性,以強制執行限制,而不是「允許所有」原則。 這種增加的可見性可以幫助偵測潛在 cyberattacks 或其他可能需要注意的事件。
- Simplified Compliance: 合規性審計的範圍通常僅限於有權存取受法規保護的資料的使用者和系統。透過實施 POLP 並根據業務需求限制這種訪問,組織可以縮小合規責任和審計的範圍,從而更容易實現和證明合規性。
如何在組織中實作最低權限
POLP 可以通過以下步驟實現:
- 執行權限稽核: 實施 POLP 的第一步是審核組織內使用者、應用程式和裝置目前的存取和權限。識別組織擁有哪些資產以及其使用方式可協助確定所需的存取權。
- 定義角色: 根據業務需求和現有權限定義權限管理的角色。 例如,識別財務員工需要存取哪些系統、軟體、資料等,才能完成工作,並將該存取權納入財務角色中。
- 限制管理存取: 大多數員工不需要管理員層級的日常工作存取權限。 移除預設管理員存取權限,並定義在需要時獲得更高權限的程序。
- 推出以角色為基礎的權限: 定義角色和權限後,將其推廣到使用者、應用程式和系統以實施 POLP。
- 部署存取監控: 存取監控對於偵測權限濫用或不對齊權限至關重要。 設定監控可協助組織偵測指派給使用者的權限是否過於限制或過於一般。
- 檢閱和修訂: 角色和權限的定義可能在第一次不完美,並且可能會隨著時間的推移而改變。 定期檢閱已指派的角色、存取權限和權限,並根據需要進行變更。
Harmony Connect 的最低權限
有效 實施零信任 而 POLP 需要可以支援其存取控制的工具。 例如,虛擬私人網路 (VPN) 不太適合零信任或 POLP,因為它們旨在為合法用戶提供對企業網路的不受限制的遠端存取。
Check Point’s Harmony Connect 透過以 POLP 相容的安全遠端存取 zero trust network access (ZTNA)作為其 SASE 解決方案的一部分。 深入瞭解 關於在組織中實作零信任遠端存取。 也歡迎您參加 報名參加免費示範 of Harmony SASE to learn about deploying POLP for your distributed workforce.
反映意見