最低限度權利原則
1)目的和定義
目標:只允許用戶/服務在最短時間內並盡可能少地訪問執行特定任務所需的資源。
定義: 「最低緯度(資源),深度(運營),時間(TTL),上下文上(地理/設備/變換),靈敏度(PII/財務)。」
2)實施基本原則
1.Need-to-Know:每個權利都與特定目的相關(基礎)。
2.時間限制:TTL(JIT)授予更高的權利;永久權利-僅讀取/蒙面。
3.Scope-Bound:通過租賃/區域/品牌/項目(tenant/region scoping)限制訪問。
4.數據最小化:PII默認被掩蓋;de-mask-僅在明確的基礎上。
5.Traceability:任何→日誌+「purpose」/「ticket_id」的訪問。
6.Revocability:快速召回(離岸≤ 15分鐘,JIT-自動召回)。
3)與其他控制器的通信
RBAC:原則上指定誰可以(基本角色)。
ABAC:指定了哪些條件(地理,設備/MDM,時間,KYC級別,風險)。
SoD:禁止危險的角色組合,需要4眼進行敏感活動。
細分:網絡/邏輯外圍(支付,KYC,DWH,秘密)。
PAM/JIT/break-glass:安全地簽發和記錄臨時特權。
4)資源和業務分類
操作:「READ」、「MASKED_READ」 (PII默認)、「WRITE」 (scoped)、「APPROVE_」 (4-eyes)、「EXPORT」(僅通過店面、簽名/日誌)。
5)權利工程「從任務到訪問」
1.User Story → Purpose: 「分析師需要構建沒有PII的歐盟轉換報告。」
2.資源列表:「agg_conversions_eu」展示櫃。
3.操作:「READ」(沒有PII),禁止「EXPORT_RAW」。
4.ABAC上下文:工作時間,corp-VPN/MDM, region=EU。
5.TTL:永久性蒙面閱讀;JIT用於一次性揭秘(如果需要)。
6.期刊:「READ」/「EXPORT」帶有「purpose」和「fields_scope」。
6)蒙面和選擇性揭秘
默認情況下掩蓋電子郵件/電話/IBAN/PAN;
未掩蓋的訪問(「pii_unmask」)-僅限於JIT+「purpose」+域所有者確認/合規性;
報告-聚合/k匿名,禁止「小樣本」(privacy thresholds)。
7)臨時特權: JIT和打破玻璃
JIT: 15-120分鐘,在滴答聲下,自動回音,全面審核。
破玻璃:緊急訪問(MFA+第二次確認,會話記錄,後續安全性+DPO)。
PAM:保密、會話代理、特權輪換。
8)流程(SOP)
8.1訪問簽發(IDM/ITSM)
1.使用「purpose」,資源,TTL/持久性的應用程序。
2.SoD/司法管轄區/數據類/上下文自動反駁。
3.域所有者的批準;для Restricted+ — Security/Compliance.
4.發行最小的漏洞(通常是蒙面閱讀)。
5.記錄在權利登記處:審查日期,召回SLA。
8.2重新認證(季刊)
域所有者確認每個角色/組;未使用權利(>30/60天)-自簽。
8.3數據導出
僅通過批準的店面;白色格式列表;簽名/散列;卸載日誌;PII-默認情況下是非個人化的。
9)控制供應商/子處理器
最小的API掃描,單個按鍵集成,allow-list IP,時間窗口。
DPA/SLA:角色,訪問記錄,重組,地理,事件,子處理器。
離岸外包:召回鑰匙,確認刪除,關閉行為。
10)審核和監控
Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR:不帶有「purpose」的訪問量,異常體積,超出時間窗口/地質輸出,SoD違規。
WORM:日誌+散列鏈/簽名的不變副本。
11)成熟度量標準(KPI/KRI)
覆蓋:RBAC/ABAC下的關鍵系統百分比≥ 95%。
Masked Reads Ratio: ≥ 95%的PII轉診是偽裝的。
JIT利率:≥ 80%的權利提升與JIT一樣。
離開TTR:召回權利≤ 15分鐘。
Exports Signed: 100%的出口簽名和點燃。
SoD Violations: = 0;嘗試-自動塊/滴答聲。
Dormant Access Cleanup: ≥ 98%的「懸掛」權限在24小時內被刪除。
12)示例腳本
A)為VIP客戶端隨機查看KYC
基本:VIP經理的蒙面閱讀。
動作:JIT訪問「pii_unmask」 30分鐘,字段記錄/屏幕記錄,後評論。
B)工程師需要訪問prod-DB
僅通過PAM+JIT ≤ 60分鐘,記錄會議,PII禁令「SELECT」,評論後和CAPA違規。
C) BI報告,按國家
訪問沒有PII的單元;ABAC過濾器:「在[EEA]」,corp-VPN/MDM,時間08:00-21:00。
13)反模式以及如何避免它們
「超級角色「/無國界繼承→分解為域角色,包括ABAC。
「以防萬一」的永久特權→ JIT+自動回復。
將prod數據復制到dev/stage →別名/合成。
在店面外導出PII →白名單、簽名、日誌、蒙版。
缺乏「purpose」 →硬塊和自動滴答聲。
14) RACI(簡稱)
15)支票單
15.1在授予訪問權限之前
- 列出「purpose」和TTL
- 通過SoD/司法管轄區的驗證
- 默認蒙版,最小漏洞
- ABAC條件:網絡/設備/時間/區域
- 日誌和修訂日期定制
15.2季度
- 對角色/組的審計,回應「懸掛」權利
- 檢查異常出口和斷玻璃
- 已確認的隱私/安全培訓
16)實施路線圖
1-2周:數據/系統清單、分類、基本角色矩陣、啟用默認掩碼。
3-4周:ABAC(星期三/地理/MDM/時間),JIT和PAM,白色出口清單,「purpose」期刊。
第2個月:離岸自動化,SOAR-alerta(沒有「purpose」/異常),季度再認證。
月3+:屬性擴展(CUS級別/設備風險),私有的thresholds,定期的tabletop練習。
TL;DR
Least Privilege=最小scope+PII掩蓋+ABAC+JIT/PAM+上下文嚴格審核和快速召回。使訪問可管理,降低泄漏/欺詐風險,並加快審核的通過速度。