成都開發(fā)軟件公司提醒您如果發(fā)現(xiàn)您的網(wǎng)絡(luò)�����、應(yīng)用程序堆棧或系統(tǒng)經(jīng)常出現(xiàn)問題或受到安全攻擊�����,那么問題可能來自權(quán)限蔓延��。
快速提問:您知道哪些員工有權(quán)訪問系統(tǒng)、服務(wù)�����、文件����、文件夾�����、子網(wǎng)或您使用的各種平臺嗎��?這是一個難題����,尤其是對于大型企業(yè)而言。
然而��,這是一個非常重要的問題��,需要提出和回答�����。
您應(yīng)該對員工的訪問權(quán)限擁有絕對的控制權(quán)。否則��,您公司的所有資源都可能面臨安全問題��。
當(dāng)訪問權(quán)限逐漸積累����,超出了個別員工實(shí)際工作所需的權(quán)限時,就稱為權(quán)限蔓延��。這種情況比你想象的要常見得多��。
這種情況發(fā)生的原因很簡單�����。您有一名員工在公司內(nèi)已經(jīng)擁有訪問各種服務(wù)器��、軟件����、網(wǎng)絡(luò)、目錄和帳戶的某些權(quán)限��。在某個時候�����,您或您的一位管理員將不得不擴(kuò)展他們的安全權(quán)限。這通常通過簡單地增加他們的累積權(quán)限來完成��。如果您的管理員在添加權(quán)限之前沒有先審查該員工當(dāng)前的權(quán)限列表/狀態(tài)����,那么該員工最終可能會獲得過多的訪問權(quán)限�����。
如何避免特權(quán)蔓延��?
您可以采取一些措施來確保特權(quán)蔓延不會再次困擾您��。
創(chuàng)建嚴(yán)格的訪問策略
根據(jù)Satoricyber的數(shù)據(jù)����,平均每個組織使用大約315個SaaS應(yīng)用,其中大多數(shù)應(yīng)用都有多個可訪問敏感公司數(shù)據(jù)的帳戶����。如果您未能采用數(shù)據(jù)訪問策略,則可能很快導(dǎo)致權(quán)限蔓延��。
您應(yīng)該做的第一件事是制定訪問策略,明確定義哪些員工有權(quán)訪問哪些資產(chǎn)��。這應(yīng)該是一張易于閱讀的圖表��,可以清楚地表明哪些部門和員工應(yīng)該有權(quán)訪問特定的系統(tǒng)/帳戶/資產(chǎn)����。這項政策應(yīng)該經(jīng)過深思熟慮且切實(shí)可行。
嚴(yán)格遵守政策
接下來����,您需要確保您的管理團(tuán)隊遵守新政策。是的��,這可能會給他們帶來額外的工作��,但至關(guān)重要的是�����,他們必須定期檢查權(quán)限(參考您精心創(chuàng)建的圖表)并撤銷任何不需要的權(quán)限�����。
采用基于角色的訪問
不要以每個用戶為單位來考慮這個問題��,最好從角色的角度來看待這個問題。例如����,您可以根據(jù)角色(如開發(fā)人員、人力資源��、管理�����、員工和高層管理人員)創(chuàng)建訪問策略��。每個角色(或組��,如果您通過計算機(jī)系統(tǒng)查看)對特定資產(chǎn)都有特定的權(quán)限����。一旦有了基于角色的策略�����,您所要做的就是將用戶插入角色�����。
參與身份治理和管理
如果您是企業(yè),則需要考慮實(shí)施身份治理和管理(IGA)����,用于定期檢查每位員工的訪問權(quán)限和特權(quán)。該團(tuán)隊?wèi)?yīng)與您的常規(guī)管理員或安全團(tuán)隊分開��,以便可以獨(dú)立運(yùn)作����,并且只負(fù)責(zé)一項非常重要的工作。
如果您不是企業(yè)(但規(guī)模較大)��,您可能只需要一名員工負(fù)責(zé)IGA��。如果是這樣����,請不要讓該員工承擔(dān)其他任務(wù),因為IGA足以讓他們忙個不停��。最重要的是�����,集中管理用戶權(quán)限將大大減少復(fù)雜性和錯誤。與已經(jīng)超負(fù)荷工作的管理員或安全團(tuán)隊相比�����,您的IGA團(tuán)隊不太可能忽視權(quán)限的更改�����。
最小特權(quán)原則
有兩種看待特權(quán)的方式:
賦予員工超出其工作所需權(quán)限��。
給予員工完成工作所需的最低限度的權(quán)限����。
選擇后者總是最安全的。永遠(yuǎn)不要授予員工超出其職責(zé)所需權(quán)限����。這并不意味著只給他們分配最低限度的權(quán)限,然后就完事了��。您需要警惕過期的權(quán)限����,這些權(quán)限可以在不影響員工工作能力的情況下被撤銷�����。這也意味著除非員工需要,否則不會授予任何權(quán)限����。
賦予每位員工他們所需的最少權(quán)限,您的安全團(tuán)隊會感謝您����。
使用專門的工具
如果您的公司有數(shù)千名員工,那么手動管理權(quán)限幾乎是不可能的�����。在這種情況下��,請考慮使用身份和訪問管理(IAM)工具�����,例如SPHEREboard�����、Cyber�����、FOX、Auth0或SpectralOps�����。此類工具可以更快����、更可靠地運(yùn)行,從而保護(hù)您的企業(yè)免受權(quán)限蔓延的影響��。
特權(quán)蔓延可能發(fā)生在任何行業(yè)
最好的成都開發(fā)軟件公司有時也會遇到這種情況����。關(guān)鍵是要盡早開始,以防止失控��。如果你讓特權(quán)蔓延得太快��、太遠(yuǎn)�����,那么解決這一任務(wù)將變得非常具有挑戰(zhàn)性�����。
文章均為京上云專業(yè)成都軟件開發(fā)公司����,專注于成都軟件開發(fā)服務(wù)原創(chuàng),轉(zhuǎn)載請注明來自http://hyd365.cn/news/3075.html
