什么是最低特权访问？

最低特权原则（PolP）是一个网络安全概念，其中用户只能获得他们完成工作所需的信息和系统的足够网络访问权限（亦称为用户特权），而不能有更多权限。

为什么最低特权原则很重要？

最低特权原则很重要，原因是为员工提供不必要的特权会增加组织的攻击面，如果发生泄露事件，则会使威胁行为者更容易在整个网络中横向移动。

以下是 PoLP 的主要优点：

限制每个团队成员的用户特权可以减少威胁行为者用来破坏系统和数据的潜在途径。

如果有一组凭据泄露，PoLP 会阻碍威胁行为者使用这些凭据在网络中横向移动。威胁行为者将严格被限制在该用户可用的系统和数据，从而减少了他们传播恶意软件、泄露数据或两者兼具的机会。

限制最低特权访问还有助于最大限度地减少由于公司内部人员的恶意活动、错误或疏忽而造成的内部威胁。例如，仅允许系统管理员安装应用可防止最终用户故意或意外安装恶意软件。

最低特权访问对于限制用户访问受行业和监管法规（如《健康保险流通与责任法案》（HIPAA）和《通用数据保护条例》（GDPR））约束的数据至关重要。

最低特权和零信任是不同但密切相关的网络安全概念。零信任是一种网络安全模型，有三个核心组件，包括 PoLP：

假定泄露。 零信任假定任何人类用户或设备都可能被入侵。相较于隐含地信任网络边界内的每个人和所有事情，零信任并不隐含地信任任何人。
显式验证。 城堡和护城河等较早的安全模型侧重于最终用户所在的位置（网络边界内部或外部），零信任则以他们的身份为中心。在访问网络资源之前，所有人员和机器都必须证明自己是所说的真实身份。
确保最低特权访问。 登录到网络后，用户只能具有执行其工作所需的最低网络访问权限，以确保工作效率，但一点也不能有更多权限。

总之：可以在没有零信任的情况下实现最低特权访问，但反之则不然。

以下是在您的组织中成功实施 PoLP 的一些提示。

使用身份和访问管理 (IAM) 解决方案
身份和访问管理 (IAM) 是一个总括术语，指的是确保授权用户能够访问执行其工作所需网络资源的政策和流程。最低特权原则属于 IAM 的涵盖范围。IAM 解决方案采用自动化和中央控制面板来协助系统管理员管理用户身份和控制对企业资源（尤其是敏感的组织系统和数据）的访问权限。
采取额外的安全措施
启用多步验证 (MFA) 作为一层额外的安全保护，以防范因凭据泄露而导致的破坏。MFA 要求用户在被授予网络资源访问权限之前提供两种或多种类型的验证。例如，自动柜员机要求银行客户插入借记卡，然后提供 PIN 码。
这可以确保，即使网络犯罪分子设法获得了有效的密码，如果未能通过额外的身份验证，坏人也无法使用该密码。
定期审核网络特权
应定期审查网络特权，以防止发生“特权蔓延”，即用户的访问级别高于必要级别。还应审查确保所有用户都拥有完成其工作所需的访问权限。