什么是最小特权原则?

最小特权原则 (PoLP) 是一种信息安全概念,它认为用户或实体只能访问完成必要任务所需的特定数据、资源和应用程序。遵循最小特权原则的企业可以通过显着减少攻击面和恶意软件传播的风险来改善其安全状况。

最小特权原则也是零信任网络访问 (ZTNA) 2.0 的一个基本支柱。在 ZTNA 2.0 框架内,最小特权原则提供了在任何及所有端口和协议(包括动态端口)上准确识别应用程序和特定应用程序功能的能力,无论应用程序使用什么 IP 地址或完全限定域名 (FQDN)。ZTNA 2.0 中的最小特权原则免去了管理员考虑网络构造的需要,并支持细粒度的访问控制以实现全面的最低特权访问。

最小特权原则 (PoLP) 如何发挥作用?

最小特权原则的工作原理是将可访问的数据、资源、应用程序和应用程序功能限制在用户或实体执行其特定任务或工作流程所需的范围内。如果不采用最小特权原则,企业就会创建权限过高的用户或实体,从而增加入侵以及滥用关键系统和数据的可能性。

ZTNA 2.0 中,最小特权原则意味着信息技术系统可以动态识别用户、设备、应用程序和用户或实体访问的应用程序功能,而不管应用程序使用什么 IP 地址、协议或端口。这包括使用动态端口的现代通信和协作应用程序。

ZTNA 2.0 中执行的最小特权原则使管理员无需考虑网络架构或低级网络构造(例如 FQDN、端口或协议),从而实现了对全面的最低权限访问的细粒度访问控制。

视频描述:Prisma SASE 高级副总裁 Kumar Ramachandran 解释了 ZTNA 2.0 中的最小特权原则。

为什么最小特权原则如此重要?

最小特权原则是当今混合工作场所中运营的企业的重要信息安全结构,有助于抵御网络攻击以及勒索软件、恶意软件和其他恶意威胁影响其运营时随之而来的财务、数据和声誉损失。

最小特权原则在可用性和安全性之间取得平衡,通过最小化攻击面、限制网络攻击、提高运营性能和减少人为错误的影响来保护关键数据和系统。

最小特权原则有什么好处?

最小特权原则:

  • 最小化攻击面,通过保护超级用户和管理员权限,减少恶意行为者访问敏感数据或实施攻击的途径。
  • 减少恶意软件传播,不允许用户安装未经授权的应用程序。最小特权原则还可以通过将恶意软件限制在入口点来阻止横向网络移动对其他连接的设备发起攻击。
  • 提高运营绩效,减少可能因入侵、恶意软件传播或应用程序之间的不兼容问题而导致的系统停机时间。
  • 防止因失误、恶意或疏忽造成的人为错误

PoLP 对现代应用的好处

最小特权原则就是为用户提供尽可能少的权限来完成工作。遗憾的是,传统安全解决方案要求企业允许访问广泛的 IP 地址、端口范围和协议,以便使用 SaaS 以及其他使用动态 IP 和端口的现代应用。这种方法违反了最小特权原则,造成了巨大的安全缺口,可能被攻击者或恶意软件利用。

ZTNA 2.0 通过 Prisma Access 及其获得专利的 App-ID 功能,实现了最小特权原则的全面应用,可对所有用户、设备和应用程序以及跨所有协议和端口的应用程序功能进行动态识别。对于管理员来说,这可以实现非常精细的访问控制,最终实现真正的最低权限访问。

视频描述:Prisma SASE 高级副总裁 Kumar Ramachandran 解释了 ZTNA 2.0 如何保护所有应用程序中的数据,无论位于何处。

PoLP 对主从式应用程序的好处

全面的最小特权原则技术(如 Prisma Access 中提供的技术)可在客户端和服务器之间实现双向访问控制,定义应用程序访问策略,并为使用服务器发起连接的应用程序轻松实现最低权限访问。这类应用包括任务关键应用,如更新和补丁管理解决方案、设备管理应用和帮助台应用。

PoLP 对私有应用的好处

许多私有应用缺乏大多数现代 SaaS 应用中的内置精细访问控制功能。允许用户访问应用程序查看数据 – 但不能上传或下载数据,这样简单的事情根本不可能实现,因为应用程序完全是根据 IP 地址和端口号来识别的。

借助 ZTNA 2.0 和 Prisma Access 提供的 PoLP 功能,企业可以在子应用级别获得精细控制,实现在 App-ID 级别识别应用程序。

如何在企业中实施 PoLP

在企业内部实施最小特权原则不应该是一件困难的事情,也不应该是一件难以承受的事情,更不应该是一件妥协的事情。这都归功于一致性,即将需求与面临的关键问题或挑战一一映射,无需进行大规模架构转换或发生业务中断。

从哪里开始 PoLP 实施

VPN 技术替代是在企业内实施最小特权原则的一个好的起点。用更现代化的 ZTNA 2.0 解决方案取代过时的传统远程访问 VPN 技术,克服了性能瓶颈并简化了管理。

VPN 替代倡议受到多种因素的推动:

  • 向真正的混合模式迁移的应用,充分利用本地部署、云和多云环境。传统的 VPN 技术将流量迂回或回传至内部“中枢”,在这种新模式下既不能扩展,也不能提供最佳的用户体验。
  • 企业应用访问权限要求发生变化。传统上,员工使用托管设备来完成与工作相关的任务。然而,越来越多的非托管设备已经进入企业网络,可以访问企业应用。
  • 各大企业希望为所有应用(而不仅仅是 Web 或传统应用)提供一致、通用的保护和安全模型。

VPN Replacement

虽然有许多解决方案可以满足其中部分需求,但只有利用 Prisma Access 的 ZTNA 2.0 有助于转变网络和安全性,从而支持托管和非托管设备,同时在整个企业内提供一致的安全保护。

在 Prisma Access 上通过 ZTNA 2.0 获取 PoLP

Prisma Access 在简约统一的产品中为云交付的 ZTNA 2.0 打造最佳用户体验。看看 Prisma Access 如何大幅减少攻击面,通过专利 App-ID 技术的精细访问控制安全地连接所有用户和所有应用,精确控制应用和子应用级别的访问,包括下载或上传。

观看视频

下载 ESG Global 的文章

访问网页