最低限度权利原则
1)目的和定义
目标:只允许用户/服务在最短时间内并尽可能少地访问执行特定任务所需的资源。
定义: "最低纬度(资源),深度(运营),时间(TTL),上下文上(地理/设备/变换),灵敏度(PII/财务)。"
2)实施基本原则
1.Need-to-Know:每个权利都与特定目的相关(基础)。
2.时间限制:TTL(JIT)授予更高的权利;永久权利-仅读取/蒙面。
3.Scope-Bound:通过租赁/区域/品牌/项目(tenant/region scoping)限制访问。
4.数据最小化:PII默认被掩盖;de-mask-仅在明确的基础上。
5.Traceability:任何→日志+"purpose"/"ticket_id"的访问。
6.Revocability:快速召回(离岸≤ 15分钟,JIT-自动召回)。
3)与其他控制器的通信
RBAC:原则上指定谁可以(基本角色)。
ABAC:指定了哪些条件(地理,设备/MDM,时间,KYC级别,风险)。
SoD:禁止危险的角色组合,需要4眼进行敏感活动。
细分:网络/逻辑外围(支付,KYC,DWH,秘密)。
PAM/JIT/break-glass:安全地签发和记录临时特权。
4)资源和业务分类
操作:"READ"、"MASKED_READ" (PII默认)、"WRITE" (scoped)、"APPROVE_" (4-eyes)、"EXPORT"(仅通过店面、签名/日志)。
5)权利工程"从任务到访问"
1.User Story → Purpose: "分析师需要构建没有PII的欧盟转换报告。"
2.资源列表:"agg_conversions_eu"展示柜。
3.操作:"READ"(没有PII),禁止"EXPORT_RAW"。
4.ABAC上下文:工作时间,corp-VPN/MDM, region=EU。
5.TTL:永久性蒙面阅读;JIT用于一次性揭秘(如果需要)。
6.期刊:"READ"/"EXPORT"带有"purpose"和"fields_scope"。
6)蒙面和选择性揭秘
默认情况下掩盖电子邮件/电话/IBAN/PAN;
未掩盖的访问("pii_unmask")-仅限于JIT+"purpose"+域所有者确认/合规性;
报告-聚合/k匿名,禁止"小样本"(privacy thresholds)。
7)临时特权: JIT和打破玻璃
JIT: 15-120分钟,在滴答声下,自动回音,全面审核。
破玻璃:紧急访问(MFA+第二次确认,会话记录,后续安全性+DPO)。
PAM:保密、会话代理、特权轮换。
8)流程(SOP)
8.1访问签发(IDM/ITSM)
1.使用"purpose",资源,TTL/持久性的应用程序。
2.SoD/司法管辖区/数据类/上下文自动反驳。
3.域所有者的批准;для Restricted+ — Security/Compliance.
4.发行最小的漏洞(通常是蒙面阅读)。
5.记录在权利登记处:审查日期,召回SLA。
8.2重新认证(季刊)
域所有者确认每个角色/组;未使用权利(>30/60天)-自签。
8.3数据导出
仅通过批准的店面;白色格式列表;签名/散列;卸载日志;PII-默认情况下是非个人化的。
9)控制供应商/子处理器
最小的API扫描,单个按键集成,allow-list IP,时间窗口。
DPA/SLA:角色,访问记录,重组,地理,事件,子处理器。
离岸外包:召回钥匙,确认删除,关闭行为。
10)审核和监控
Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR:不带有"purpose"的访问量,异常体积,超出时间窗口/地质输出,SoD违规。
WORM:日志+散列链/签名的不变副本。
11)成熟度量标准(KPI/KRI)
覆盖:RBAC/ABAC下的关键系统百分比≥ 95%。
Masked Reads Ratio: ≥ 95%的PII转诊是伪装的。
JIT利率:≥ 80%的权利提升与JIT一样。
离开TTR:召回权利≤ 15分钟。
Exports Signed: 100%的出口签名和点燃。
SoD Violations: = 0;尝试-自动块/滴答声。
Dormant Access Cleanup: ≥ 98%的"悬挂"权限在24小时内被删除。
12)示例脚本
A)为VIP客户端随机查看KYC
基本:VIP经理的蒙面阅读。
动作:JIT访问"pii_unmask" 30分钟,字段记录/屏幕记录,后评论。
B)工程师需要访问prod-DB
仅通过PAM+JIT ≤ 60分钟,记录会议,PII禁令"SELECT",评论后和CAPA违规。
C) BI报告,按国家
访问没有PII的单元;ABAC过滤器:"在[EEA]",corp-VPN/MDM,时间08:00-21:00。
13)反模式以及如何避免它们
"超级角色"/无国界继承→分解为域角色,包括ABAC。
"以防万一"的永久特权→ JIT+自动回复。
将prod数据复制到dev/stage →别名/合成。
在店面外导出PII →白名单、签名、日志、蒙版。
缺乏"purpose" →硬块和自动滴答声。
14) RACI(简称)
15)支票单
15.1在授予访问权限之前
- 列出"purpose"和TTL
- 通过SoD/司法管辖区的验证
- 默认蒙版,最小漏洞
- ABAC条件:网络/设备/时间/区域
- 日志和修订日期定制
15.2季度
- 对角色/组的审计,回应"悬挂"权利
- 检查异常出口和断玻璃
- 已确认的隐私/安全培训
16)实施路线图
1-2周:数据/系统清单、分类、基本角色矩阵、启用默认掩码。
3-4周:ABAC(星期三/地理/MDM/时间),JIT和PAM,白色出口清单,"purpose"期刊。
第2个月:离岸自动化,SOAR-alerta(没有"purpose"/异常),季度再认证。
月3+:属性扩展(CUS级别/设备风险),私有的thresholds,定期的tabletop练习。
TL;DR
Least Privilege=最小scope+PII掩盖+ABAC+JIT/PAM+上下文严格审核和快速召回。使访问可管理,降低泄漏/欺诈风险,并加快审核的通过速度。