Czym jest Zasada najmniejszych uprawnień?

Zasada najmniejszych uprawnień to jeden z fundamentalnych zasad bezpieczeństwa informacji. Ogranicza szkody wynikające z wypadków, błędów lub złośliwych działań, zapewniając że żaden podmiot nie ma dostępu ponad to, czego absolutnie potrzebuje. Jeśli konto z minimalnymi uprawnieniami zostanie skompromitowane, atakujący uzyskuje minimalny dostęp.

Stosowanie zasady najmniejszych uprawnień do udostępniania danych uwierzytelniających oznacza rozważenie nie tylko tego, kto powinien mieć dostęp, ale jak długo i ile razy. Podwykonawca potrzebujący hasła do bazy danych do jednorazowej migracji nie powinien otrzymywać danych uwierzytelniających, które utrwalą się w kanale Slack na czas nieokreślony. Inżynier potrzebujący produkcyjnego klucza API do wdrożenia nie powinien móc go odzyskać tygodnie później z wątku e-mail.

Zasada najmniejszych uprawnień dotyczy też samych systemów. Serwer do udostępniania sekretów, który nie musi czytać przechowywanych sekretów, nie powinien mieć zdolności ich czytania. Baza danych przechowująca zaszyfrowane dane nie powinna przechowywać kluczy deszyfrowania. Projektując systemy z myślą o zasadzie najmniejszych uprawnień, redukujesz powierzchnię ataku na każdym poziomie.

Jak Vaulted używa Zasada najmniejszych uprawnień

Vaulted wcielza zasadę najmniejszych uprawnień zarówno na poziomie systemu, jak i użytkownika. Sam serwer działa na zasadzie najmniejszych uprawnień — przechowuje i dostarcza zaszyfrowane dane, ale nie ma możliwości ich odszyfrowania, ponieważ nigdy nie posiada kluczy szyfrowania. Dla użytkowników konfigurowalne limity wyświetleń (nawet jedno wyświetlenie) i okna wygaśnięcia zapewniają, że udostępnione dane uwierzytelniające są dostępne tylko tak długo, jak potrzeba. Po wyświetleniu sekret samozniszczy się, całkowicie eliminując dostęp.