Zasada najmniejszych przywilejów to koncepcja i praktyka ograniczania uprawnień użytkowników, kont i procesów w stopniu maksymalnym, ale nadal umożliwiającym wykonywanie rutynowych i pożądanych działań. Przywileje same w sobie definiowane są jako możliwość pominięcia określonych zasad bezpieczeństwa. W odniesieniu do ludzi, zasada najmniejszych przywilejów oznacza wymuszenie minimalnego poziomu uprawnień, który pozwala wypełniać danej osobie swoją rolę. Jednocześnie zasada najmniejszych przywilejów odnosi się także do procesów, aplikacji, systemów i urządzeń (IoT) – i każde z nich powinno posiadać wyłącznie takie uprawnienia, by móc wykonywać wyłącznie autoryzowane aktywności.

Podczas gdy sam koncept zasady najmniejszych przywilejów jest dość prosty do zrozumienia, tak jego implementacja może okazać się skomplikowana jeśli weźmie się pod uwagę kilka czynników, takich jak:

  • systemy heterogeniczne (Windows, Unix, Linux, OSX itd.),
  • rosnąca liczba typów aplikacji i urządzeń (desktopy, laptopy, tablety, smartfony, IoT itd.),
  • zróżnicowane środowiska komputerowe (chmury, środowiska wirtualne, środowiska hybrydowe),
  • zróżnicowane typy ról użytkowników,
  • dostęp firm zewnętrznych / kontraktorów do infrastruktury informatycznej.

Poniższy tekst dostarcza podstawowych informacji na temat zasady najmniejszych przywilejów, w tym informacji na temat typów komputerowych przywilejów, na temat kont uprzywilejowanych i nieuprzywilejowanych, na temat trudności związanych z implementacją zasady, a także na temat najlepszych praktyk i strategii.

Dodaj komentarz