翻译
搜索
复制
最小特权的网络安全原则是一种信息安全框架,旨在为用户提供执行其任务所需的最低级别的访问权限或权限。IT安全作为一个整体,是一门复杂的、多方面的学科,最小特权已成为保护对任务关键型企业资产的访问的最基本网络安全最佳实践之一。最小特权不仅限于人类访问。它还扩展到需要访问企业网络中特权系统的应用程序、自动化工具和连接设备(如 IoT 端点)。
假设银行经理有三名员工向他们报告;撰稿人、文员和法律顾问。撰稿人可以进入打印室,以便他们可以打印协议、政策文件和其他重要文件。职员可以进入文件柜和印刷室。法律顾问可能会被允许进入印刷室和文件柜,但也有权应要求进入银行经理办公室。从本质上讲,经理分配了属于该特定角色的员工所需的最少权限,并且只有经理有权访问银行的保管库。这种根据用户的角色需求向用户分配最小特权的理念就是最小特权原则。
强制实施最低权限仅意味着分配执行作业所需的最低权限。有效实施最小权限包括在整个企业网络中实施细粒度的集中式访问控制机制,该机制既能平衡网络安全和合规性要求,又要确保最终用户的日常运营要求没有障碍。
最小特权的核心旨在通过减少通向特权系统的访问路径数量来压缩组织的攻击面。组织为限制过多特权而采用的常见方法是撤销业务用户的管理访问权限。但是,IT 团队通常需要向日常操作涉及访问特权系统的最终用户重新授予权限。在这种情况下,权限被重新授予,很少被撤销,导致访问权限的逐渐积累 - 超出要求。这种做法渗透到组织中的各个级别的用户中,导致称为权限蠕变的安全情况,这可能会加剧未经授权的访问问题。当企业忽视这种错综复杂的特权积累时,他们很容易将其关键客户暴露给特权蔓延。
权限蠕变是指权限扩散到超出用户访问级别。当 IT 管理员慷慨地向用户分配权限以摆脱 IT 支持的官僚主义时,通常会发生特权蔓延。发生特权蠕变的另一个合理且常见的原因是,如果团队忘记删除旧用户或临时用户的权限。
特权蠕变的典型示例包括,如果个人的职位描述已更新,并且即使在过渡期之后也没有撤销个人的旧特权,或者个人暂时需要额外的特权来执行其通常工作职能之外的任务,并且组织在作业完成后不会撤销这些额外的特权。
特权蔓延的危险可以通过对企业中的所有员工强制实施最小特权来缓解。一旦工作完成,访问权限将立即撤销,关闭潜在漏洞和长期特权的大门。简而言之,执行最小特权原则围绕着零信任安全模型,即每个员工,无论其地理位置如何,都有可能成为威胁参与者的受害者,甚至自己成为受害者。
让我们回顾一下我们之前看到的银行示例。为什么经理必须首先实现最小特权?首先,并非所有员工都需要进入每个房间,尤其是像金库这样重要的地方,它保存着客户信息和财富。其次,经理信任员工执行属于其角色范围的任务,但如果他们要执行需要进入超出其默认访问权限的房间的任务,也需要及时验证。
现在,同样,通过使用包含零信任和最小特权原则的 PAM 解决方案,IT 管理员可以对用户强制实施访问限制,以将其权限限制为用户角色要求的特权。任何 PAM 解决方案的工作方式都基于最小特权的网络安全原则。PAM 解决方案为 IT 管理员提供设置,以配置自己的限制,并根据用户的角色将最低权限映射到用户。
这实质上就是零信任如何通过基于角色的访问控制推动最小特权原则的实施。
假设有一名员工在 IT 团队中使用关键资源。他们应该在每次登录系统时发送访问请求。然后,IT 管理员批准此请求。完成当天的任务后,用户将从资源中注销,如果他们需要访问系统,则预计会发出另一个请求。
另一个合理的例子可能包括期望访问关键资源的不同员工团队。但是,每个团队中只有一个人有权访问此资源,从而减少了对多个标识的暴露,从而减轻了未经授权访问的威胁。
在企业方案中,权限升级攻击通过以下方式逐步控制系统访问功能:
最小特权模型消除了管理访问和长期特权,这意味着关键企业资源的访问路径数量也大大减少,使整体攻击面更小。
由于恶意软件需要提升的权限才能执行,因此在端点上强制实施最低权限有助于遏制恶意软件的传播。即使发生攻击,恶意软件也不会在没有管理员权限的情况下运行,从而大大减少了潜在的损害。
通过删除最终用户的管理访问权限并启用策略驱动的实时 (JIT) 特权访问,组织可以促进更顺畅的访问工作流,提高员工工作效率,并控制 IT 帮助台呼叫,同时减少因权限过高而导致的威胁。
最小特权实施可帮助组织建立有关谁在何时访问了什么内容的透明度,从而创建易于审计的环境。它还可用于满足各种行业和联邦监管要求,这些要求要求企业实施严格的访问控制策略以加强数据管理和系统安全性,例如HIPAA,PCI DSS,SOX,GDPR和CCPA。
以下是企业需要将特权密码管理作为其 IT 安全策略的一部分的一些原因。可以使用 PAM 解决方案将以下最佳实践引入到任何现有的工作安全模型中。
首先进行彻底的权限审核,以确定当前正在使用的所有特权帐户及其提供的访问权限类型。这包括所有本地和域管理员帐户、特权密码、SSH 密钥、服务帐户以及在 DevOps 管道中硬编码的人类和非人类实体凭据。
删除终结点上的本地管理员权限和所有用户的默认标准权限,但包括根据用户角色扩展特定应用程序的提升访问权限的规定。删除对网络中所有服务器的管理访问权限,并在默认情况下使每个用户都成为标准用户。
划分用户权限和跨各种应用程序、系统和进程的权限,并仅为所有类型的用户授予所需的最低权限。这有助于限制未经授权的访问并防止横向移动。
为域和本地帐户分配 JIT 控件,并在用户请求时扩展临时提升的权限。在设定的时间段后自动撤销权限。在这里,实际凭据不会向用户公开,同时为完成手头任务所需的时间提供足够的访问权限。
通过在 DevOps 管道、RPA 系统和其他连接的设备中获取嵌入式凭据,并将其替换为允许从配备请求发布工作流的密码保管库中检索凭据的 API,从而降低权限滥用的可能性。每次访问后立即轮换特权密码和密钥,以使密钥日志记录工具可能已记录的凭据失效。
确保您的最低特权策略超出物理边界,扩展到您的云授权、远程员工池、承包商、供应商以及启动的所有远程访问会话。.
始终如一地审查所有用户活动并录制特权会话的视频,以明确问责制。结合用户信任评分以实时检测异常并终止任何可疑用户活动。
PAM360是ManageEngine的PAM解决方案套件的终极融合。
PAM360 提供各种服务,包括密码请求释放工作流、JIT 和基于角色的访问控制。
与上面看到的示例类似,PAM360 允许 IT 管理员使用可自定义的设置设置请求发布工作流,这些设置将指示特权用户如何访问关键资源。通过此类工作流程,PAM360 强制对任何密码请求审批过程进行 4 眼原则检查。
PAM360 的 JIT 权限分配功能允许 IT 管理员通过启用访问控制来临时向用户授予访问权限。这种临时特权提升通常称为特权提升和委派管理。
基于角色的访问控制是根据用户在组织中执行的角色对用户的权限限制。通过 PAM360 中提供的多个可自定义角色,IT 管理员可以将用户划分为基于管理员和基于用户的角色。他们可以进一步限制其权限的范围,并选择授予哪个用户哪个权限。
与我们的专家交谈,了解如何使用 PAM360 在组织的 IT 工作流程和安全实践中部署最小特权的网络安全原则。