自从身份验证和授权已成为访问计算机系统的常规,最小权限原则(POLP)实际上是安全的底线。核心思想是仅向用户分配他们完成任务所需的对公司数据和系统的最低访问权限——不多也不少,刚好足以完成工作。从理论上讲,遵守POLP似乎是最好的身份和访问管理策略,但实施最小权限通常说起来容易做起来难。为什么最小特权原则难以实施?原因有很多。首先,实现最小权限需要清楚地了解每个用户及其角色所需的适当权限。其次,必须有某种工具来执行定义的权限级别。再次强调,授权的定义和实现不得干扰用户的正常工作。最小权限原则保护所有类型的用户访问,尤其是管理员访问。在具有明确定义的角色和与这些角色关联的细粒度权限划分的系统上实施POLP相对容易。但有些系统并不是那么合作,因为它们缺乏定义和实施各级权限划分的原生工具。对于后者,企业往往只能借助自己简陋的权限定义设备和有限的工具来实现POLP。于是,很多公司拼命想实现最小权限,但实际上只是在非常有限的范围内真正实现了POLP。从管理员权限的角度来看,很多公司为了省事,直接将管理员(或“超级用户”)的凭证分发给所有可能需要此权限的用户,让太多的员工掌握太多的数据和系统。权限与POLP完全不同。将最小权限原则应用于管理员权限的一个经典示例是Unix和Linux系统上的开源工具“sudo”(“superuserdo”的缩写)。该工具允许公司在“sudoer”文件中定义角色,这些角色对“全权限”root凭据具有部分权限。登录后,管理员必须在命令前加上“su”以尝试执行特权命令,如果命令不被sudoer策略允许,则执行尝试将被拒绝。sudo在许多情况下效果很好。但是当Unix/Linux系统环境达到一定规模后,在每台Unix/Linux服务器上独立运行sudo,使得最小权限的实现难以控制,容易出错,适得其反。因此,各种特权访问管理(PAM)解决方案应运而生,要么通过覆盖整个环境并辅以键盘记录的解决方案实施统一的策略和实施规则集,要么通过覆盖所有实例的集中式策略增强sudo(与此相反分散在实例中的多个sudoer文件)。然而,Unix/Linux通常只是PAM整体视图的一部分。还有其他系统具有未经审查的管理员访问权限。例如,大多数公司都会设置MicrosoftActiveDirectory(AD)和AzureActiveDirectory(AAD)作为最终用户的主要访问入口。这使得AD/AAD管理员成为任何PAM项目的重要组成部分,POLP也应该扩展到这些管理员。然而,现实往往不是那么简单。除了Unix/Linux和AD/AAD平台,现代异构企业很难实现一致的POLP。有些应用程序内置了POLP实现的功能,有些应用程序根本不考虑POLP。前路艰难。为了尽可能地扩大PAM项目,帮助企业从POLP中获得最大收益,可以参考以下建议:1.控制你能控制的:寻找机会增强Unix/Linux系统中的原生sudo,消除最低权限执行流程漏洞,提高运营效率。用商业解决方案增强或替换sudo可以产生巨大的安全收益。同样,寻求第三方帮助,去掉默认的管理员权限设置,也是AD/AAD应用POLP的好方法。2.使用特权密码管理器:如果无法获得最低特权,请尝试使用特权密码管理器来共享管理员密码。随着日常Unix/Linux和AD/AAD管理员访问权限以最小权限模型??委派,我们必须保护和自动化其他特权密码的发布、批准和管理。这样做可以消除未经授权的管理员访问的匿名性,并使流程处于受控状态。特权密码管理器还提供了另一种方式来授予单个用户委派管理员帐户的全部特权。委派日常操作并为紧急情况授予超级用户访问权限。3.审计行为:没有监控管理员使用他们的权限做什么的PAM项目是不完整的。通过会话审计和键盘记录增强管理员权限委派,让您了解这些权限的用途。4.实施分析:PAM难题的最后一块是实施分析。特权行为分析有助于检测异常和危险行为,而身份分析则评估与特权密码管理器和最小特权模型中的管理员特权相关联的那些权利。执行对等管理员的权利和特权分析可以帮助公司识别其最小特权模型中的弱点。POLP是有效PAM项目的关键组成部分,但它不是唯一的原则。一个全面的PAM项目还应该辅以密码管理、会话审计和分析,以真正实现项目设计的安全目标。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
