En Az Ayrıcalık İlkesi nedir?

En az ayrıcalık, bilgi güvenliğinin temel prensiplerinden biridir. Hiçbir varlığın kesinlikle ihtiyaç duyduğundan fazla erişime sahip olmamasını sağlayarak kazalar, hatalar veya kötü niyetli eylemlerden kaynaklanabilecek hasarı sınırlandırır. Minimum ayrıcalıklara sahip bir hesap ele geçirilirse saldırgan minimum erişim kazanır.

En az ayrıcalığın kimlik bilgisi paylaşımına uygulanması, yalnızca kimin erişim sahibi olması gerektiğini değil, ne kadar süre ve kaç kez erişeceğini de düşünmek anlamına gelir. Tek seferlik bir geçiş için veritabanı parolasına ihtiyaç duyan bir dış yüklenici, Slack kanalında sonsuza dek kalan bir kimlik bilgisi almamalıdır. Bir dağıtım için üretim API anahtarına ihtiyaç duyan bir mühendis, bunu haftalar sonra bir e-posta zincirinden alabilmemelidir.

En az ayrıcalık sistemlerin kendisi için de geçerlidir. Depoladığı gizli bilgileri okumaya ihtiyaç duymayan bir gizli bilgi paylaşım sunucusu, bunları okuma yeteneğine sahip olmamalıdır. Şifreli veri depolayan bir veritabanı, şifre çözme anahtarlarını elinde bulundurmamalıdır. Sistemleri en az ayrıcalık gözetilerek tasarlayarak her katmanda saldırı yüzeyini azaltırsın.

Vaulted En Az Ayrıcalık İlkesi nasıl kullanır

Vaulted, en az ayrıcalığı hem sistem hem de kullanıcı düzeyinde somutlaştırır. Sunucunun kendisi en az ayrıcalıkla çalışır — şifreli veriyi depolar ve sunar, ancak şifreleme anahtarlarına hiçbir zaman sahip olmadığı için bunların şifresini çözemez. Kullanıcılar için, yapılandırılabilir görüntüleme limitleri (en düşük tek görüntüleme) ve son kullanma pencereleri, paylaşılan kimlik bilgilerinin yalnızca ihtiyaç duyulduğu sürece erişilebilir olmasını sağlar. Görüntülendikten sonra gizli bilgi kendiliğinden imha olur ve erişimi tamamen kaldırır.