Apa itu Prinsip Hak Istimewa Minimal?

Hak istimewa minimal adalah salah satu prinsip dasar dalam keamanan informasi. Prinsip ini membatasi kerusakan yang dapat timbul dari kecelakaan, kesalahan, atau tindakan jahat dengan memastikan tidak ada entitas yang memiliki akses lebih dari yang benar-benar dibutuhkan. Jika akun dengan hak istimewa minimal dikompromikan, penyerang mendapatkan akses minimal.

Menerapkan hak istimewa minimal pada berbagi kredensial berarti mempertimbangkan bukan hanya siapa yang harus memiliki akses, tetapi untuk berapa lama dan berapa kali. Kontraktor yang membutuhkan kata sandi database untuk migrasi sekali pakai tidak boleh menerima kredensial yang bertahan di saluran Slack tanpa batas waktu. Insinyur yang membutuhkan API key produksi untuk deployment tidak boleh dapat mengambilnya berminggu-minggu kemudian dari thread email.

Hak istimewa minimal juga berlaku untuk sistem itu sendiri. Server berbagi rahasia yang tidak perlu membaca rahasia yang disimpannya tidak boleh memiliki kemampuan untuk membacanya. Database yang menyimpan data terenkripsi tidak boleh menyimpan kunci dekripsi. Dengan merancang sistem dengan prinsip hak istimewa minimal, kamu mengurangi permukaan serangan di setiap lapisan.

Cara Vaulted menggunakan Prinsip Hak Istimewa Minimal

Vaulted mewujudkan hak istimewa minimal di tingkat sistem maupun pengguna. Server itu sendiri beroperasi dengan hak istimewa minimal — server menyimpan dan mengirikan data terenkripsi tetapi tidak memiliki kemampuan untuk mendekripsinya, karena tidak pernah memiliki kunci enkripsi. Untuk pengguna, batas tampilan yang dapat dikonfigurasi (serendah satu tampilan) dan jendela kedaluwarsa memastikan bahwa kredensial yang dibagikan hanya dapat diakses selama diperlukan. Setelah dilihat, rahasia menghancurkan diri sendiri, menghapus akses sepenuhnya.