最小权限访问 仍然是安全最前线
发布时间:2022-05-20 09:35:09 所属栏目:安全 来源:互联网
导读:为什么最小权限原则一直难以实现? 原因很多。首先,要实现最小权限就得对每位用户及其角色所需的恰当权限有着清晰的理解。其次,要有某种工具来实施所定义的权限等级。再次,授权的定义与实施一定不能干扰到用户的正常工作。最小权限原则能保护所有类型的用
|
为什么最小权限原则一直难以实现? 原因很多。首先,要实现最小权限就得对每位用户及其角色所需的恰当权限有着清晰的理解。其次,要有某种工具来实施所定义的权限等级。再次,授权的定义与实施一定不能干扰到用户的正常工作。最小权限原则能保护所有类型的用户访问,尤其是管理员权限访问。 有些系统角色定义良好,对与这些角色相关联的权限也有着细粒度的划分,在这些系统上实现POLP就比较容易。但有些系统就没那么配合了,因为它们缺乏定义和实现各级权限划分的原生工具。对于后者,公司企业往往只能靠自己粗浅简陋的权限定义设备和有限的工具来实现POLP。造成的结果就是,很多公司企业非常想要施行最小权限,但实际上却只在非常有限的范围内真正实现了POLP。 sudo在很多情况下运行良好。但当Unix/Linux系统环境达到一定的规模,每台Unix/Linux服务器上独立运行sudo就让最小权限的施行变得难以控制,容易出错,适得其反了。于是,各种特权访问管理(PAM)解决方案应运而生,要么用覆盖整个环境的解决方案贯彻统一的策略和实现规则集并辅以键盘记录,要么以覆盖所有实例的集中式策略增强sudo(相对于分散在各实例上的多个sudoer文件)。 但是,Unix/Linux通常只是PAM整体视图中的一部分。还有其他系统会留有未经审查的管理员权限访问。比如说,大多数公司企业都会设置微软活动目录(AD)和Azure活动目录(AAD)作为终端用户的主要访问入口。这就让AD/AAD管理员成为了任何PAM项目的重要内容,POLP也应扩展到这些管理员身上。 然而,现实往往没那么简单,除了Unix/Linux和AD/AAD平台,现代异构企业中非常难以贯彻一致的POLP。有些应用内置了供POLP实现的功能,而有些应用压根儿就没考虑过POLP。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐