¿Qué es Principio de mínimo privilegio?

El mínimo privilegio es uno de los principios fundamentales de la seguridad de la información. Limita el daño que pueden provocar accidentes, errores o acciones malintencionadas al garantizar que ninguna entidad tenga más acceso del que estrictamente necesita. Si una cuenta con privilegios mínimos se ve comprometida, el atacante obtiene un acceso mínimo.

Aplicar el mínimo privilegio a la compartición de credenciales implica considerar no solo quién debe tener acceso, sino durante cuánto tiempo y cuántas veces. Un colaborador externo que necesita una contraseña de base de datos para una migración puntual no debería recibir una credencial que persista indefinidamente en un canal de Slack. Un ingeniero que necesita una clave de API de producción para un despliegue no debería poder recuperarla semanas más tarde de un hilo de correo electrónico.

El mínimo privilegio también se aplica a los propios sistemas. Un servidor de compartición de secretos que no necesita leer los secretos que almacena no debería tener la capacidad de leerlos. Una base de datos que almacena datos cifrados no debería poseer las claves de descifrado. Al diseñar sistemas teniendo en mente el mínimo privilegio, reduces la superficie de ataque en cada capa.

Cómo usa Vaulted Principio de mínimo privilegio

Vaulted encarna el mínimo privilegio tanto a nivel de sistema como de usuario. El propio servidor opera con mínimo privilegio: almacena y entrega datos cifrados, pero no tiene capacidad de descifrarlos, porque nunca posee las claves de cifrado. Para los usuarios, los límites de visualización configurables (tan bajos como una sola visualización) y las ventanas de expiración garantizan que las credenciales compartidas sean accesibles solo durante el tiempo necesario. Una vez vista, el secreto se autodestruye, eliminando el acceso por completo.