न्यूनतम विशेषाधिकार का सिद्धांत क्या है?

अक्टूबर 23

न्यूनतम विशेषाधिकार का सिद्धांत (PoLP) एक साइबर सुरक्षा अवधारणा है जो उपयोगकर्ता, एप्लिकेशन और सिस्टम की पहुंच को केवल विशिष्ट कार्यों को करने के लिए आवश्यक अनुमतियों तक सीमित करता है।

कम से कम विशेषाधिकार का सिद्धांत क्या है

न्यूनतम विशेषाधिकार का सिद्धांत क्या है?

न्यूनतम विशेषाधिकार का सिद्धांत प्रत्येक उपयोगकर्ता, सेवा और प्रक्रिया को उनके वर्तमान कार्य को करने के लिए आवश्यक न्यूनतम अनुमतियाँ प्रदान करता है। पहुँच का दायरा विशिष्ट संसाधनों और क्रियाओं तक सीमित होता है, डिफ़ॉल्ट-अस्वीकार स्थिति का पालन करता है, और जहाँ तक संभव हो, जस्ट-इन-टाइम या समाप्ति तिथि के माध्यम से समय-सीमाबद्ध होता है। PoLP विशेषाधिकार वृद्धि को रोकने के लिए सूक्ष्म प्राधिकरण और स्पष्ट भूमिका परिभाषाओं पर निर्भर करता है, जबकि कर्तव्यों का पृथक्करण इस संभावना को कम करता है कि एक ही पहचान परस्पर विरोधी या उच्च-जोखिम वाली क्रियाएँ कर सकती है।

व्यवहार में, PoLP को निम्नलिखित तंत्रों के माध्यम से लागू किया जाता है: RBAC या ABAC नीतियाँ, अस्थायी उन्नयन के लिए विशेषाधिकार प्राप्त पहुँच प्रबंधन, और आपात स्थितियों के लिए "ब्रेक-ग्लास" प्रक्रियाएँ। निरंतर ऑडिटिंग, लॉगिंग और आवधिक समीक्षाएँ यह सत्यापित करती हैं कि प्रभावी विशेषाधिकार उद्देश्य से मेल खाते हैं और विरासत या समूह सदस्यता ने चुपचाप पहुँच का विस्तार नहीं किया है।

विवश करके हमले की सतह और समझौता की गई पहचान क्या कर सकती है, इसे सीमित करते हुए, PoLP संभावना और प्रभाव को कम करता है उल्लंघनों और वैध कार्य को अवरुद्ध किए बिना परिचालन संबंधी गलतियों को रोकना।

न्यूनतम विशेषाधिकार का सिद्धांत कैसे काम करता है?

PoLP पहचानकर्ताओं को केवल वही पहुँच प्रदान करके जोखिम कम करता है जिसकी उन्हें आवश्यकता होती है, ठीक उसी समय जब उन्हें इसकी आवश्यकता होती है, और केवल आवश्यकता से अधिक समय तक। नीचे दिया गया वर्कफ़्लो दिखाता है कि संगठन इस विचार को कैसे व्यवहार में लाते हैं:

  1. संसाधनों और कार्यों का मानचित्रण करेंइन्वेंट्री सिस्टम, डेटा और संचालन (पढ़ना, लिखना, निष्पादित करना, प्रशासन करना) का मानचित्रण करके यह स्थापित करें कि क्या एक्सेस किया जा सकता है।
  2. कार्यों और भूमिकाओं के आधार पर समूह बनानासामान्य कार्य कार्यों को भूमिकाओं (या विशेषताओं) में समेकित करें ताकि व्यक्तिगत अनुमतियों को पुन: प्रयोज्य बंडलों में परिवर्तित किया जा सके जो वास्तविक कार्य को प्रतिबिंबित करते हैं, न कि तदर्थ अनुदानों को।
  3. न्यूनतम अनुमतियाँ परिभाषित करेंप्रत्येक भूमिका के लिए, कार्यों को पूरा करने के लिए आवश्यक विशिष्ट संसाधनों पर केवल विशिष्ट क्रियाएँ ही निर्दिष्ट करें। इससे अतिरिक्त पहुँच समाप्त हो जाती है और विस्फोट का दायरा कम हो जाता है।
  4. डिफ़ॉल्ट-अस्वीकार और समय सीमा अपनाएं. "पहुँच नहीं" को आधार रेखा बनाएं, फिर स्वीकृत अनुमतियाँ समय पर प्रदान करें और निष्क्रिय विशेषाधिकारों को जमा होने से रोकने के लिए स्वचालित समाप्ति के साथ प्रदान करें।
  5. नीति और सत्र नियंत्रणों के साथ लागू करेंRBAC/ABAC नियम लागू करें, एमएफए, स्कोप्ड टोकन, नेटवर्क विभाजन, और अस्थायी उन्नयन के लिए PAM। ये सुरक्षा उपाय सुनिश्चित करते हैं कि पहुँच का उपयोग केवल इच्छित रूप में ही किया जाए।
  6. लगातार निगरानी करें. प्रमाणीकरण, प्राधिकरण और व्यवस्थापक क्रियाओं का लॉग रिकॉर्ड करें, और विसंगतियों और विशेषाधिकार वृद्धि प्रयासों पर भी अलर्ट करें। दृश्यता इस बात की पुष्टि करती है कि प्रभावी पहुँच डिज़ाइन से मेल खाती है।
  7. समीक्षा करें और परिष्कृत करें. समय-समय पर पहुँच समीक्षा चलाएँ ताकि भटकाव दूर हो, नौकरी बदलने पर भूमिकाएँ समायोजित हों, और दुर्लभ "ब्रेक-ग्लास" अपवादों को अनुमोदन के साथ दर्ज किया जा सके। इससे समय के साथ न्यूनतम विशेषाधिकार बरकरार रहता है।

न्यूनतम विशेषाधिकार के सिद्धांत का उदाहरण

एक सपोर्ट इंजीनियर को प्रोडक्शन से जुड़ी किसी समस्या की जाँच करनी होती है। डिफ़ॉल्ट रूप से, उनके पास नहीं उत्पादन पहुँच। वे एक टिकट खोलते हैं और अनुरोध करते हैं समय की पाबन्दी भूमिका जो अनुदान देती है केवल पढ़ने के लिए उत्पादन लॉग तक पहुंच 30 मिनट.

प्रबंधक अनुमोदन और एमएफए के बाद, एक पीएएम सिस्टम एक स्कोप्ड सत्र टोकन जारी करता है जो केवल: (1) /var/log/app/* में लॉग फ़ाइलों को पढ़ सकता है, और (2) मॉनिटरिंग में त्रुटि तालिका को क्वेरी कर सकता है डेटाबेससभी कमांड रिकॉर्ड किए जाते हैं। जब टाइमर समाप्त हो जाता है या सत्र समाप्त हो जाता है, तो टोकन स्वचालित रूप से रद्द हो जाता है।

इंजीनियर को समस्या के निदान के लिए केवल वही मिलता है जो आवश्यक है, इससे अधिक कुछ नहीं; लिखने/हटाने या व्यापक डाटाबेस विशेषाधिकार कभी नहीं दिए जाते हैं, तथा ऑडिट ट्रेल से पता चलता है कि किसने क्या और कब एक्सेस किया।

न्यूनतम विशेषाधिकार के सिद्धांत का उपयोग

न्यूनतम विशेषाधिकार का सिद्धांत उन सभी जगहों पर लागू होता है जहाँ पहुँच को संचालन धीमा किए बिना नियंत्रित किया जाना आवश्यक हो। प्रत्येक व्यक्ति, सेवा या उपकरण क्या कर सकता है, इसे सीमित करके, यह दक्षता बनाए रखते हुए मज़बूत सुरक्षा सीमाएँ बनाता है। इसके सबसे आम उपयोगों में शामिल हैं:

  • व्यावसायिक अनुप्रयोगों तक कर्मचारियों की पहुँचप्रत्येक कर्मचारी को केवल अपने काम के लिए आवश्यक सुविधाओं और डेटा तक ही पहुँच प्राप्त होती है। इससे मानवीय त्रुटि कम होती है और हैक किए गए खातों से होने वाले नुकसान को सीमित किया जा सकता है।
  • व्यवस्थापक और पावर-उपयोगकर्ता क्रियाएँकॉन्फ़िगरेशन परिवर्तन या डेटा विलोपन जैसी उच्च जोखिम वाली कार्रवाइयों के लिए अलग, अस्थायी अनुमोदन की आवश्यकता होती है, जिससे गलतियों या क्रेडेंशियल चोरी का प्रभाव कम हो जाता है।
  • संवेदनशील डेटा तक पहुंचकेवल निर्दिष्ट उपयोगकर्ता ही गोपनीय जानकारी देख या संशोधित कर सकते हैं, जिससे गोपनीयता संरक्षण और अनुपालन में सुधार होता है।
  • अनुप्रयोग-से-अनुप्रयोग संचार. सेवाएँ केवल डेटा का आदान-प्रदान करती हैं या API उनके कार्यों के लिए आवश्यक कॉल, एक घटक के समझौते को फैलने से रोकते हैं।
  • डेटाबेस तक पहुंच. स्कोप्ड खाते निर्दिष्ट तालिकाओं पर केवल आवश्यक क्वेरीज़ चलाते हैं, जिससे आकस्मिक संशोधन या व्यापक डेटा एक्सपोज़र से बचा जा सकता है।
  • स्वचालन और परिनियोजन उपकरण. सिस्टम बनाएं और लिपियों अनुमतियाँ उनके विशिष्ट कार्यों तक सीमित होती हैं, जिससे संभावित दुरुपयोग या विफलताओं को नियंत्रित रखा जा सकता है।
  • तृतीय पक्ष और ठेकेदार की पहुंच। दीर्घकालिक जोखिम को कम करने के लिए बाहरी साझेदारों को अस्थायी, कार्य-विशिष्ट पहुंच प्राप्त होती है।
  • दूरस्थ पहुँच और समर्थन सत्र. अल्पकालिक, निगरानी वाले सत्र, खुले या लगातार कनेक्शन छोड़े बिना सहायता प्रदान करते हैं।
  • आपातकालीन (“ब्रेक-ग्लास”) पहुंच। घटनाओं के दौरान अस्थायी उन्नत पहुंच की बाद में समीक्षा की जाती है, जिससे गति और जवाबदेही बनी रहती है।

न्यूनतम विशेषाधिकार का सिद्धांत क्यों महत्वपूर्ण है?

न्यूनतम विशेषाधिकार का सिद्धांत महत्वपूर्ण है क्योंकि यह हमले की सतह को न्यूनतम करता है और क्रेडेंशियल्स या सिस्टम के ख़तरे में पड़ने पर होने वाले नुकसान को सीमित करता है। पहुँच को प्रतिबंधित करने से हमलावरों को पार्श्व गतिमान, संवेदनशील डेटा चोरी करना, या संचालन में बाधा डालना। यह अंदरूनी सूत्रों की धमकी यह सुनिश्चित करके कि उपयोगकर्ता और प्रक्रियाएं अनधिकृत कार्य नहीं कर सकतीं, आकस्मिक त्रुटियों को रोका जा सकता है।

सुरक्षा के अलावा, PoLP जवाबदेही और अनुपालन को भी मज़बूत करता है। स्पष्ट रूप से परिभाषित और समयबद्ध अनुमतियाँ लॉगिंग, ऑडिटिंग और पहुँच सत्यापन को आसान बनाती हैं। विशेषाधिकारों के अतिक्रमण को रोककर और अनुमतियों को वास्तविक कार्य आवश्यकताओं के अनुरूप बनाकर, संगठन सिस्टम स्थिरता बनाए रखते हैं और जाँच-पड़ताल की लागत और जटिलता को कम करते हैं। घटना की प्रतिक्रिया.

न्यूनतम विशेषाधिकार के सिद्धांत को कैसे लागू किया जाए?

न्यूनतम विशेषाधिकार के सिद्धांत को कैसे लागू किया जाए

न्यूनतम विशेषाधिकार तब काम करता है जब पहुँच जानबूझकर, विशिष्ट और अल्पकालिक हो। नीचे दिए गए चरण एक-दूसरे पर आधारित होते हैं ताकि आप सही लोगों और प्रणालियों को केवल वही पहुँच प्रदान कर सकें जिसकी उन्हें वास्तव में आवश्यकता है:

  1. जो मौजूद है उसकी सूची बनाएं. उपयोगकर्ताओं की सूची बनाएं, अनुप्रयोगों, सेवाएं, प्रणालियां और डेटा, साथ ही उनके द्वारा की जाने वाली क्रियाएं (पढ़ना, लिखना, कॉन्फ़िगर करना, निष्पादित करना) ताकि पूरा परिदृश्य देखा जा सके, ताकि बाद में लिए गए निर्णय वास्तविकता पर आधारित हों, न कि अनुमान पर।
  2. कार्यों और भूमिकाओं को परिभाषित करेंसामान्य नौकरी कर्तव्यों को स्पष्ट भूमिकाओं में समूहित करें (उदाहरण के लिए, "समर्थन - टिकट देखें," "वित्त - रिपोर्ट निर्यात करें"), किए जाने वाले कार्य के आधार पर पहुंच प्रदान करने के लिए, न कि व्यक्तिगत पक्षपात के आधार पर, जिससे असंगतता और अति-अनुमति कम हो जाती है।
  3. डिफ़ॉल्ट-अस्वीकार आधार रेखा सेट करें"नो एक्सेस" से शुरुआत करें, फिर विशिष्ट संसाधनों पर प्रत्येक भूमिका के लिए आवश्यक विशिष्ट अनुमतियाँ ही जोड़ें। इस तरह, आप अनावश्यक विशेषाधिकारों को घुसपैठ करने से रोकेंगे और किसी भी गलती या उल्लंघन के प्रभाव के दायरे को कम कर देंगे।
  4. सूक्ष्म अनुमतियाँ लागू करेंसबसे छोटे व्यावहारिक दायरे का उपयोग करें: संसाधन, क्रिया, परिवेश और, जहाँ तक संभव हो, दिन के समय या नेटवर्क स्थान के अनुसार सीमा निर्धारित करें। इससे दुरुपयोग या आकस्मिक परिवर्तनों की संभावना कम हो जाएगी।
  5. दुर्लभ आवश्यकताओं के लिए समय-सीमित उन्नयन का उपयोग करेंकभी-कभार उच्च जोखिम वाली कार्रवाइयों के लिए, अनुरोध, अनुमोदन, मजबूत की आवश्यकता होती है प्रमाणीकरण, और स्वचालित समाप्ति ताकि लोग शक्तिशाली पहुंच को इधर-उधर रखे बिना असाधारण कार्यों को पूरा कर सकें।
  6. खंड वातावरण और डेटा. अलग उत्पादन से परीक्षणसंवेदनशील डेटा को सामान्य डेटा से अलग करें, और एडमिन फ़ंक्शन को अलग करें। इस तरह, अगर एक क्षेत्र में भी घुसपैठ हो जाए, तो हमलावर आसानी से ज़्यादा संवेदनशील क्षेत्रों में नहीं जा सकते।
  7. मॉनिटर और लॉग एक्सेसरिकॉर्ड करें कि किसने क्या, कब और कैसे एक्सेस किया, और असामान्य पैटर्न और असफल उन्नयन प्रयासों के बारे में अलर्ट करें। आपको अनुपालन साबित करने, समस्याओं की शीघ्र जाँच करने और समस्याओं को जल्दी पकड़ने में मदद मिलेगी।
  8. नियमित रूप से समीक्षा और सफाई करें. निर्धारित पहुँच समीक्षाएँ चलाएँ, निष्क्रिय खातों को हटाएँ, व्यापक अनुमतियों को सख्त करें, और नौकरियों में बदलाव के अनुसार भूमिकाओं को समायोजित करें। विशेषाधिकार समय के साथ वर्तमान और न्यूनतम बने रहेंगे, जिससे धीमी गति से "विशेषाधिकार वृद्धि" को रोका जा सकेगा।
  9. जहाँ संभव हो, प्रवर्तन को स्वचालित करें. टेम्पलेट भूमिकाएँ, नीतियों को संहिताबद्ध करें, और अनुमोदन और समाप्ति को अपने उपकरणों और वर्कफ़्लो में एकीकृत करें ताकि स्थिरता में सुधार हो और मैन्युअल त्रुटियां कम हों।
  10. उपयोगकर्ताओं और स्वामियों को शिक्षित करेंटीमों को सिखाएँ कि न्यूनतम विशेषाधिकार कैसे और क्यों काम करता है और अस्थायी पहुँच का अनुरोध करना आसान और तेज़ बनाएँ। इस तरह, वे स्वेच्छा से इस मॉडल का पालन करेंगे क्योंकि यह उत्पादकता को रोकने के बजाय उसे बढ़ावा देता है।

न्यूनतम विशेषाधिकार के सिद्धांत के लाभ और चुनौतियाँ

न्यूनतम विशेषाधिकार केवल आवश्यक चीज़ों तक पहुँच को सीमित करके सुरक्षा और जवाबदेही को मज़बूत करता है। हालाँकि, यह परिचालन संबंधी कार्यों को भी शुरू करता है: भूमिकाएँ परिभाषित करना, अपवादों का प्रबंधन करना और अनुमतियों को अद्यतन रखना। यह खंड उन प्रमुख लाभों की रूपरेखा प्रस्तुत करता है जिनकी आप अपेक्षा कर सकते हैं और उन व्यावहारिक बाधाओं की भी जिनके लिए योजना बनानी होगी।

न्यूनतम विशेषाधिकार के सिद्धांत के क्या लाभ हैं?

केवल आवश्यक चीज़ों तक पहुँच सीमित करने से सिस्टम सुरक्षित और प्रबंधित करने में आसान हो जाते हैं। नीचे दिए गए बिंदु मुख्य लाभों और उनके महत्व को स्पष्ट करते हैं:

  • छोटी आक्रमण सतहकम अनुमतियों का मतलब है कि हमलावरों के लिए नियंत्रण हासिल करने के कम रास्ते। उजागर होने वाली गतिविधियों और डेटा को कम करने से सफल उल्लंघन की संभावना कम हो जाती है।
  • सीमित विस्फोट त्रिज्यायदि किसी खाते या एप्लिकेशन के साथ छेड़छाड़ की जाती है, तो सीमित पहुँच व्यापक क्षति को रोकती है। घटनाएँ विशिष्ट सिस्टम या डेटासेट तक ही सीमित रहती हैं।
  • कम गलतियाँ और अंदरूनी जोखिमलोग और प्रक्रियाएँ ऐसी गतिविधियाँ नहीं कर सकते जिनकी उन्हें आवश्यकता नहीं है। इससे आकस्मिक विलोपन, गलत कॉन्फ़िगरेशन और संवेदनशील डेटा के दुरुपयोग में कमी आती है।
  • मजबूत अनुपालन और लेखापरीक्षास्पष्ट, न्यूनतम अनुमतियों को लॉग करना, समीक्षा करना और ऑडिटरों के सामने साबित करना आसान होता है। आप दिखा सकते हैं कि किसने क्या, कब और किस उद्देश्य से एक्सेस किया।
  • बेहतर सिस्टम स्थिरताउच्च जोखिम वाली कार्रवाइयों (जैसे कॉन्फ़िगरेशन परिवर्तन) को सही समय और भूमिकाओं तक सीमित करने से रुकावटें और अनपेक्षित दुष्प्रभाव कम हो जाते हैं।
  • सुरक्षित तृतीय-पक्ष और ठेकेदार पहुँचकार्य-विशिष्ट, समय-सीमित अनुमतियाँ भागीदारों को आपके पूरे वातावरण को खोले बिना अपना काम करने देती हैं।
  • बेहतर डेटा गोपनीयताकेवल वे ही संवेदनशील रिकॉर्ड देख या बदल सकते हैं जिन्हें वास्तव में उनकी ज़रूरत है। इससे ग्राहकों की सुरक्षा होती है और कानूनी तथा प्रतिष्ठा संबंधी जोखिम कम होता है।
  • परिचालन स्पष्टता और दक्षताभूमिका परिभाषाएँ और स्कोप्ड एक्सेस, एड-हॉक अपवादों को हटा देते हैं। टीमें तेज़ी से जुड़ती हैं, अनुमोदन आसान होते हैं, और एक्सेस वास्तविक कार्य के साथ संरेखित रहती है।
  • फाउंडेशन के लिए शून्य विश्वास डिज़ाइनन्यूनतम विशेषाधिकार नेटवर्क विभाजन और सशक्त प्रमाणीकरण का पूरक है। साथ मिलकर ये पार्श्व गति के विरुद्ध स्तरीकृत सुरक्षा प्रदान करते हैं।

न्यूनतम विशेषाधिकार के सिद्धांत की चुनौतियाँ क्या हैं?

न्यूनतम विशेषाधिकार लाभप्रद होते हैं, लेकिन इन्हें डिज़ाइन करने, लागू करने और वर्तमान स्थिति में बनाए रखने के लिए निरंतर प्रयास की आवश्यकता होती है। नीचे दिए गए बिंदु आम बाधाओं की व्याख्या करते हैं:

  • क्या प्रतिबंधित करना है यह पता लगानाकई संगठनों के पास सिस्टम, डेटा और क्रियाओं की स्पष्ट सूची का अभाव होता है। उस मानचित्र के बिना, सटीक, न्यूनतम अनुमतियाँ निर्धारित करना कठिन होता है।
  • नौकरियों को अनुमतियों में बदलनावास्तविक दुनिया में भूमिकाएँ अस्पष्ट होती हैं और समय के साथ बदलती रहती हैं। कार्यों को स्पष्ट, सीमित पहुँच में बदलने से अक्सर अंतराल, ओवरलैप और सीमांत मामले उजागर होते हैं।
  • डिफ़ॉल्ट-अस्वीकार घर्षणअगर अनुरोध और अनुमोदन के रास्ते अव्यवस्थित हैं, तो "नो एक्सेस" से शुरुआत करने से काम धीमा हो सकता है। खराब वर्कफ़्लो लोगों को व्यापक, स्थायी पहुँच की तलाश करने के लिए मजबूर करता है।
  • समय के साथ विशेषाधिकार में वृद्धिपरियोजनाएँ समाप्त हो जाती हैं, टीमें स्थानांतरित हो जाती हैं, लेकिन अनुमतियाँ बनी रहती हैं। पुरानी समूह सदस्यताएँ और एकबारगी अपवाद चुपचाप प्रभावी पहुँच का विस्तार करते हैं।
  • दुर्लभ लेकिन शक्तिशाली कार्यों को संभालनाआपातकालीन मरम्मत और रखरखाव के लिए कभी-कभी उन्नत अनुमतियों की आवश्यकता होती है। यदि अस्थायी उन्नयन धीमा या अस्पष्ट है, तो टीमें स्थायी, जोखिमपूर्ण पहुँच बनाए रखती हैं।
  • जटिल अनुप्रयोग श्रृंखलाएँसेवाएँ अन्य सेवाओं, डेटाबेस और क्यू से संवाद करती हैं। प्रत्येक लिंक की सटीक रूप से जाँच करना कठिन है; एक अत्यधिक विस्तृत टोकन पूरी श्रृंखला को उजागर कर सकता है।
  • बड़े पैमाने पर निगरानी और समीक्षाजैसे-जैसे खाते और सिस्टम बढ़ते हैं, उपयोगी लॉग एकत्र करना, विसंगतियों का पता लगाना और आवधिक पहुंच समीक्षा चलाना भारी काम बन जाता है।
  • विक्रेता और ठेकेदार की पहुँचअल्पकालिक साझेदारों को त्वरित और सीमित पहुँच की आवश्यकता होती है। समय के दबाव में, आरंभ तिथियों, समाप्ति तिथियों और साफ़ निष्कासन का समन्वय करना आसान नहीं होता।
  • सांस्कृतिक प्रतिरोधटीमें कड़ी पहुँच को अवरोधक मान सकती हैं। स्पष्ट संचार और अस्थायी पहुँच के तेज़ रास्तों के बिना, लोग नियंत्रणों के इर्द-गिर्द काम करते हैं।
  • टूलिंग अंतराल और विरासत प्रणालियाँपुराने प्लेटफ़ॉर्म बारीक अनुमतियों या अल्पकालिक सत्रों का समर्थन नहीं कर सकते हैं, जिससे मोटे नियंत्रण या कस्टम वर्कअराउंड को मजबूर किया जा सकता है।

न्यूनतम विशेषाधिकार का सिद्धांत FAQ

यहां न्यूनतम विशेषाधिकार के सिद्धांत के बारे में सबसे अधिक पूछे जाने वाले प्रश्नों के उत्तर दिए गए हैं।

न्यूनतम विशेषाधिकार और विशेषाधिकार पृथक्करण के सिद्धांत के बीच क्या अंतर है?

आइए, न्यूनतम विशेषाधिकार के सिद्धांत की तुलना विशेषाधिकार पृथक्करण से करें और उनके अंतरों के बारे में अधिक जानें।

पहलून्यूनतम विशेषाधिकार का सिद्धांत (पीओएलपी)विशेषाधिकार अलगाव
मूल विचारप्रत्येक उपयोगकर्ता, प्रक्रिया या सेवा को वर्तमान कार्य के लिए केवल न्यूनतम आवश्यक अनुमतियाँ दें।किसी सिस्टम या प्रोग्राम को अलग-अलग विशेषाधिकार स्तरों वाले भागों में विभाजित करें, ताकि किसी एक भाग के पास सारी शक्ति न हो।
प्राथमिक लक्ष्यआक्रमण सतह को छोटा करने और क्षति को सीमित करने के लिए अनावश्यक अनुमतियों को कम करें।छोटे, सुपरिभाषित विशेषाधिकार प्राप्त घटकों के पीछे जोखिमपूर्ण कार्यों को अलग करके विफलताओं को रोकें।
विस्तारसंसाधनों (फ़ाइलें, डेटाबेस, API, सिस्टम) पर पहचान और उनकी अनुमतियों पर लागू होता है।विश्वास सीमाओं के पार कार्यक्षमता को विभाजित करके सिस्टम और अनुप्रयोग डिज़ाइन पर लागू होता है।
पठन स्तरविशिष्ट कार्यों और संसाधनों पर सूक्ष्म अनुमतियाँ, जो प्रायः समय-सीमित होती हैं।संरचनात्मक सीमाएँ: पृथक प्रक्रियाएँ, उपयोगकर्ता, कंटेनर, जेल या माइक्रोसर्विसेज़।
विशिष्ट नियंत्रणभूमिका या विशेषता आधारित अनुमतियाँ, डिफ़ॉल्ट-अस्वीकार, जस्ट-इन-टाइम उन्नयन, समाप्ति सत्र, बहु-कारक जाँचें।अलग उपयोगकर्ता खाते, सहायक डेमॉन, सैंडबॉक्सिंग, चरूट/जेल, स्टार्टअप के बाद विशेषाधिकार-छोड़ना, विभाजित बाइनरी।
कार्यान्वयन के उदाहरण30 मिनट तक लॉग तक केवल पढ़ने की पहुंच वाली एक सहायक भूमिका; लिखने या हटाने का कोई अधिकार नहीं।A वेब server एक अनाधिकृत उपयोगकर्ता के रूप में चलता है, जबकि उन्नत अधिकारों के साथ एक छोटी सहायक प्रक्रिया केवल पोर्ट बाइंडिंग या कुंजी संचालन को संभालती है।
विफलता नियंत्रणसमझौता की गई पहचान क्या कर सकती है, इसकी सीमाएं तय करती है।यह सीमा तय करता है कि समझौता किया गया घटक कहां तक ​​पहुंच सकता है; उल्लंघन अपनी सीमा के अंदर ही रहता है।
परिचालन संबंधी समझौतेस्पष्ट भूमिका डिजाइन, समीक्षा और त्वरित अस्थायी पहुंच पथ की आवश्यकता है।सावधानीपूर्वक सिस्टम आर्किटेक्चर, अंतर-प्रक्रिया संचार और सीमा रखरखाव की आवश्यकता है।
कब इस्तेमाल करेंलोगों या सेवाओं के लिए कोई भी पहुँच प्रबंधन परिदृश्य।सॉफ्टवेयर और सिस्टम डिजाइन जहां जोखिमपूर्ण कार्यों को अलग किया जा सके।
रिश्ताएक अनुमति रणनीति.एक वास्तुशिल्पीय पैटर्न। ये दोनों एक-दूसरे के पूरक हैं: विशेषाधिकार पृथक्करण सीमाएँ बनाता है; न्यूनतम विशेषाधिकार उन सीमाओं के भीतर और उनके पार न्यूनतम अधिकारों को परिभाषित करता है।

क्या न्यूनतम विशेषाधिकार के सिद्धांत को स्वचालित किया जा सकता है?

हाँ। न्यूनतम विशेषाधिकार के सिद्धांत को उन उपकरणों के माध्यम से काफी हद तक स्वचालित किया जा सकता है जो भूमिकाओं का प्रबंधन करते हैं, उपयोग की निगरानी करते हैं और अनुमतियों को गतिशील रूप से समायोजित करते हैं। पहचान शासन प्रणालियाँ, विशेषाधिकार प्राप्त उपयोग प्रबंधन उपकरण और अभिगम नियंत्रण नीतियाँ पूर्वनिर्धारित नियमों के आधार पर स्वचालित रूप से अनुमतियाँ प्रदान कर सकती हैं, उनकी समय-सीमा समाप्त कर सकती हैं या उन्हें रद्द कर सकती हैं। स्वचालन मैन्युअल कार्यभार और मानवीय त्रुटियों को कम करता है, हालाँकि नीतियों को परिभाषित करने और अपवादों को स्वीकृत करने के लिए मानवीय निगरानी आवश्यक बनी रहती है।

क्या न्यूनतम विशेषाधिकार का सिद्धांत गैर-मानव संस्थाओं पर लागू होता है?

हाँ। PoLP गैर-मानवीय पहचानों, जैसे एप्लिकेशन, स्क्रिप्ट, सेवाओं और उपकरणों पर भी समान रूप से लागू होता है। ये संस्थाएँ अक्सर डेटा एक्सेस करती हैं या विभिन्न प्रणालियों के बीच संचार करती हैं और यदि उन्हें अत्यधिक विशेषाधिकार प्राप्त हों, तो उनका शोषण किया जा सकता है। उन्हें केवल विशिष्ट कार्यों, जैसे एक डेटाबेस को पढ़ने या एक ही API को कॉल करने के लिए आवश्यक अनुमतियाँ प्रदान करने से, समझौता होने की स्थिति में संभावित नुकसान को कम किया जा सकता है और समग्र सिस्टम अखंडता को बनाए रखा जा सकता है।

अनास्ताज़िजा
स्पासोजेविक
अनास्ताज़ीजा ज्ञान और जुनून के साथ एक अनुभवी सामग्री लेखक हैं cloud कंप्यूटिंग, सूचना प्रौद्योगिकी और ऑनलाइन सुरक्षा। पर phoenixNAP, वह डिजिटल परिदृश्य में सभी प्रतिभागियों के लिए डेटा की मजबूती और सुरक्षा सुनिश्चित करने के बारे में ज्वलंत सवालों के जवाब देने पर ध्यान केंद्रित करती है।