什麼是最低權限原則?

最低權限原則 (PoLP) 是一種資訊安全概念,其會規範使用者或實體只能存取完成既定任務所需的特定數據、資源和應用程式。遵循最低權限原則的企業可以大幅地縮減攻擊範圍並降低惡意軟體散播的風險來改善其安全狀況。

最低權限原則也是零信任網路存取 (ZTNA) 2.0 的主要支柱。在 ZTNA 2.0 架構內,無論應用程式使用的 IP 位址或完全合格網域名稱 (FQDN) 為何,最低權限原則都能夠讓您跨任何和所有連接埠和通訊協定 (包括動態連接埠) 準確地識別應用程式和特定應用程式的功能。ZTNA 2.0 中的最低權限原則使管理員無需考慮網路架構,並可達到精細的存取控制以實作更為全面的最低權限存取。

最低權限原則 (PoLP) 如何運作?

最低權限原則會限制使用者或實體只能存取執行其特定任務或工作流程所需的數據、資源、應用程式和應用程式功能。如果不採用最低權限原則,企業可能會對使用者或實體過度授權,進而增加關鍵系統和數據遭到入侵和濫用的機率。

ZTNA 2.0 中,無論應用程式使用的 IP 位址、通訊協定或連接埠為何,最低權限原則代表著資訊技術系統可動態識別使用者、裝置、應用程式以及使用者或實體存取的應用程式的功能。這包括會使用動態連接埠的現代化通訊和協作應用程式。

ZTNA 2.0 中執行的最低權限原則使管理員無需考慮網路架構,或者是例如 FQDN 等低層級的網路結構,就能達到精細的存取控制以實作更為全面的最低權限存取。

影片說明:Prisma SASE 資深副總裁 Kumar Ramachandran 針對 ZTNA 2.0 的最低權限原則進行說明。

為什麼最低權限原則如此重要?

對於在現今混合式工作場所中營運的企業來說,最低權限原則是一種重要的資訊安全結構,可以協助保護他們免於遭受網路攻擊,即使其營運受到勒索軟體、惡意軟體和其他惡意威脅所影響,也能避免隨之而來的財務、數據和聲譽損失。

最低權限原則能在可用性和安全性之間取得平衡,可以大幅縮減攻擊範圍、限制網路攻擊、提高營運效能並減少人為錯誤,藉以保護關鍵數據和系統。

最低權限原則有哪些優點?

最低權限原則:

  • 大幅縮小攻擊範圍,保護超級使用者和管理員權限,減少惡意行動者用來存取敏感數據或進行攻擊的途徑。
  • 禁止使用者安裝未經授權的應用程式來減少惡意軟體傳播。最低權限原則還可以將惡意軟體限制在進入點,藉此阻止攻擊者經由橫向網路移動對其他連接的裝置發動攻擊。
  • 透過減少系統停機時間來提高營運效能,否則可能會因為漏洞、惡意軟體散播或應用程式之間的不相容等問題而造成系統停機。
  • 防止因過失、惡意或疏忽而發生的人為錯誤

PoLP 為現代化應用程式帶來的優勢

最低權限原則就是僅授予使用者最少量的權限來執行其工作。遺憾的是傳統安全解決方案會要求企業允許存取廣泛的 IP 位址、連接埠範圍和通訊協定,以便使用 SaaS 和其他使用動態 IP 和連接埠的現代化應用程式。此方法違反最低權限原則,進而造成會遭到攻擊者或惡意軟體所利用的巨大安全漏洞。

ZTNA 2.0 能夠透過 Prisma Access 全面利用最低權限原則及其專利 App-ID 功能,以動態方式識別所有使用者、裝置和應用程式,以及跨任何和所有通訊協定和連接埠的應用程式功能。因此管理員可啟用非常精細的存取控制以實作真實的最低權限存取。

影片說明:Prisma SASE 資深副總裁 Kumar Ramachandran 說明 ZTNA 2.0 如何保護位於任何位置的所有應用程式數據。

PoLP 為用戶端-伺服器應用程式帶來的優勢

最低權限技術的廣泛原則 (例如 Prisma Access 中可用的技術) 可以支援用戶端和伺服器之間的雙向存取控制以定義應用程式存取政策,並且針對使用伺服器啟動連線的應用程式輕鬆地達到最低權限存取。其中包括各種關鍵任務應用程式,例如更新和修補程式管理解決方案、裝置管理應用程式和服務台應用程式等等。

PoLP 為私有應用程式帶來的優勢

許多的私有應用程式都缺乏存在於大部分現代化 SaaS 應用程式的內建且精細存取的控制功能。即使像是允許使用者存取應用程式以檢視數據但不允許上傳或下載數據的簡單功能也無法做到,因為應用程式完全是根據 IP 位址和連接埠號碼來識別應用程式。

透過 ZTNA 2.0 和 Prisma Access 提供的 PoLP 功能,企業可以在子應用程式層級進行精細控制,讓他們能夠在 App-ID 層級識別應用程式。

如何在您的企業中實作 PoLP

在企業內實作最低權限原則並不困難,也不會難以負荷或需要任何的妥協。您唯一需要做的就是將各種需求對應至關鍵問題或挑戰,因此不需要透過大規模的架構變動或業務中斷來解決問題。

如何開始實作 PoLP

VPN 技術取代是企業內實作最低權限原則的絕佳起點。利用更現代化的 ZTNA 2.0 解決方案取代舊型遠端存取的過時 VPN 技術,以克服效能瓶頸並簡化管理。

VPN 取代計劃是由以下幾個因素所推動:

  • 應用程式轉移至實際的混合模式,充分利用內部部署、雲端和多雲端環境的優勢。舊型 VPN 技術類似「伸縮喇叭」或者將流量回傳至內部部署「集訊器」的方式並無法擴展,也無法在新的模式中提供最佳使用者體驗。
  • 企業應用程式存取需求的變化。傳統上,員工會使用受管理的裝置來完成工作相關的任務。不過,已經有越來越多未受管理的裝置透過各種方式進入公司網路並存取公司應用程式。
  • 企業不斷尋找一致且通用的防護和安全模式來保護所有的應用程式,而非侷限於 Web 或舊型應用程式。

VPN Replacement

雖然有部分的解決方案能解決某些需求,但是只有 ZTNA 2.0 和 Prisma Access 才能促進網路功能和安全性的轉型以支援受管理和未受管理的裝置,同時在整個企業中提供一致的安全防護。

在 Prisma Access 中透過 ZTNA 2.0 取得 PoLP

Prisma Access 可以透過簡單且統一的產品來提供雲端交付式 ZTNA 2.0,並且可確保最佳使用者體驗。了解 Prisma Access 如何大幅縮減攻擊範圍,並且透過專利 App-ID 技術的精細存取控制安全地連接所有使用者和所有應用程式,以精確地控制應用程式和子應用程式層級的存取,包括下載或上傳。

觀看影片

下載 ESG Global 的白皮書

造訪網頁