POLP 規定,帳戶、應用程式和裝置應僅被授予完成其工作所需的存取和權限。這是透過根據業務需求以及企業內用戶、裝置或應用程式的目的來識別這些要求來實現的。
例如,大多數員工不需要對自己的電腦的管理存取權來履行其角色,因此 POLP 表示他們不應該擁有這個權限。 同樣地,財務人員不需要訪問人力資源記錄或 IT 系統,因此不應該被授予他們。
POLP 也適用於限制對需要這些權限的任務對提高權限的存取權限。 例如,IT 管理員可能需要特權存取權才能執行某些工作職務。 但是,他們應該使用非權限的帳戶進行日常工作,並僅在特定任務需要時使用其特權帳戶。
根據 2021 年威瑞遜數據外洩調查報告(DBIR),大約 70% 的數據洩露涉及權限濫用。 這意味著具有合法存取公司資源的帳戶已用來存取和擷取敏感資料。 這可能是由於入侵的帳戶、帳戶擁有者的疏忽或內部威脅。
POLP 透過限制授予使用者、應用程式等的權限來幫助限制權限濫用的風險。如果帳戶只擁有執行其角色所需的權限,則其濫用這些權限的能力會受到限制。 雖然對客戶資料庫具有合法存取權限的帳戶或應用程式仍然可以存取該資料庫並竊取其中的記錄,但與企業中的每個使用者和應用程式都可能被用來這樣做相比,這種風險較小得多。
POLP 限制對組織的敏感資料和寶貴的 IT 資源的存取權限。 通過這樣做,它可以為組織提供多種好處,例如:
POLP 可以通過以下步驟實現:
有效 實施零信任 而 POLP 需要可以支援其存取控制的工具。 例如,虛擬私人網路 (VPN) 不太適合零信任或 POLP,因為它們旨在為合法用戶提供對企業網路的不受限制的遠端存取。
Check Point’s Harmony Connect 透過以 POLP 相容的安全遠端存取 zero trust network access (ZTNA)作為其 SASE 解決方案的一部分。 深入瞭解 關於在組織中實作零信任遠端存取。 也歡迎您參加 報名參加免費示範 of Harmony SASE to learn about deploying POLP for your distributed workforce.