文章

什麼是最小權限原則 (PoLP)?

什麼是最小權限原則 (PoLP)?

最小權限原則,有時也稱為 PoLP(Principle of Least Privilege),是一種網路安全(Cybersecurity)策略和實務,透過嚴密監控並控管授與使用者的存取權限,來控管對組織資料、網路、應用程式以及其他資源的存取行為。最小權限原則不僅適用於人類使用者,也適用於非人類使用者,例如需要特殊權限或權限才能執行所需任務的應用程式、系統和連線裝置。使用者僅被授予執行其任務所需的最低限度存取權限,不多也不少。

最小權限原則在實務上的範例包括:

  • 負責處理發票的員工只能存取會計應用程式中的特定功能,而不能存取其他區域,例如應收帳款或薪資處理。
  • 銷售人員擁有客戶資料庫的讀寫權限,但沒有下載或複製權限。
  • 政府工作人員只能根據其安全許可等級存取資訊,並且只能存取與其工作相關的資訊(例如,FDA(食品藥物管理局)員工無法存取與國防相關的資訊)。
  • 軟體使用者介面設計師無權存取原始碼。

最小權限原則被廣泛認為是最有效的網路安全實務之一,因為它能夠有效地限制橫向移動與未經授權的存取、最小化攻擊面(Attack Surface),以及減緩惡意軟體(Malware)的擴散。它是實現 CIA 資安鐵三角(機密性、完整性和可用性)目標的有效策略,也是零信任安全(Zero Trust)架構的基礎要素之一。

最小權限原則的運作方式

最小權限原則透過限制和監控對資料、網路、應用程式和其他資源的存取,來發揮其效用。在零信任安全環境中,最小權限原則可以幫助辨識授予人類與非人類使用者的具體存取權限,無論應用程式使用的 IP(網際網路通訊協定)位址、通訊協定或連接埠(例如使用動態連接埠的通訊與協作應用程式)。

最小權限原則的核心要素

最小權限原則在其控管機制中納入三個核心要素:使用者身分驗證、裝置安全態勢,以及使用者與應用程式之間的分段存取控制。

使用者身分驗證 實施最小權限原則的第一步,是驗證人類使用者和非人類使用者的身分。

裝置安全態勢 有效運用最小權限原則包括監控使用情況,以便及早識別並阻止遭到入侵的人類或非人類使用者。

使用者對應用程式的分段存取 最小權限原則使用零信任架構網路存取解決方案,透過將網路分段(微分段)並根據需要限制存取權限,來防止未經授權的橫向移動。

最小權限帳戶類型原則

為了實作最小權限原則,會使用不同類型的帳戶,每種類型的帳戶根據使用者需求具有不同的權限等級。使用的帳戶類型包括以下各項。

非特殊權限帳戶(Non-privileged accounts) 非特殊權限帳戶主要有兩種類型:

  1. 最小權限使用者帳戶 (LPUs , Least-Privileged User accounts) 僅賦予使用者執行其職責所需的最少權限。這種帳戶等級通常分配給大多數使用者。
  2. 訪客使用者帳戶會指派給外部使用者(例如第三方合作夥伴、承包商、派遣員工等),這些使用者僅需最少限度的存取權限。訪客使用者帳戶通常的權限比 LPU 更少。根據最小權限原則,當訪客使用者帳戶不再需要存取權限時,應立即停用其帳戶。

特殊權限帳戶(Privileged Accounts) 也稱為超級使用者或管理員帳戶,擁有最高等級的存取權限。

常用的特殊權限帳戶包括:

  • 應用程式帳戶是由應用程式使用,用於存取其他應用程式、資料庫,或執行批次工作與指令碼。
  • 網域管理帳戶擁有對網域內工作站與伺服器的管理存取權限。
  • 網域服務或 Active Directory 帳戶有權變更帳戶密碼以及管理與儲存有關資源的資訊。
  • 緊急帳戶(也稱為 break glass 或 firecall 帳戶)由非特殊權限使用者在緊急情況下使用,對安全系統具有管理存取權限。
  • 本機管理帳戶僅具備對本地主機或執行個體的管理存取權限。
  • 服務帳戶(也稱為特殊權限本機帳戶或網域帳戶)是由應用程式或服務用來與作業系統互動的帳戶。

根據最小權限原則,通常只有系統管理員才能存取特殊權限帳戶。這是因為他們被視為最值得信任的人員,且執行職責時需要較高層級的存取權限。特殊權限帳戶持有者可執行的任務包括:

  • 啟用或停用其他使用者帳戶,包括特殊權限帳戶
  • 調整網路設定
  • 安裝和更新應用程式
  • 監控使用者和系統
  • 刪除資料

服務帳戶 服務帳戶是指派給非人類使用者的專用帳戶。根據最小權限原則,應先判斷其所需的存取權限需求,然後僅授予執行授權任務所必須的最基本權限。

共用帳戶 共用帳戶也稱為通用帳戶,是由一群使用者共同使用的帳戶。應謹慎使用共用帳戶,因為根據最小權限原則的最佳實務,應為每位使用者指派其專屬的帳戶。

最小權限原則的三個最佳實作

  1. 建立並維護完整的特殊權限帳戶清單,其中應包括使用者與本機帳戶、應用程式與服務帳戶、資料庫帳戶、雲端與社交媒體帳戶、SSH(安全殼層)金鑰、預設密碼與硬編碼密碼,以及其他特殊權限憑證(例如合作夥伴或供應商所使用的帳戶)。此外,該清單亦應涵蓋所使用的平台、目錄服務與硬體。
  2. 建立全面的最小權限原則規範,以管理帳戶(特別是特殊權限帳戶)的佈建與取消佈建方式,並規範特殊權限身分與帳戶的監控與管理。
  3. 針對使用者、端點、帳戶、應用程式、服務、系統與裝置,強制實施最小權限原則。其實作方式包括:
  • 禁止密碼共用
  • 移除應用程式、程序、裝置、工具及其他資源上不必要的權限
  • 實作職能分離原則
  • 根據實際需求,將每個特殊權限帳戶所授予的權限降到最低
  • 移除硬編碼憑證
  • 移除端點和伺服器上的管理員權限
  • 要求使用強式密碼和多因子驗證(MFA , Multi-Factor Authentication)限制特殊權限帳戶的指派
  • 盡可能地對系統和網路進行分段
  • 僅在必要時使用常設權限

最小權限原則的重要性

最小權限原則之所以重要,是因為它能因應日益擴大的混合式環境所帶來的安全挑戰,並在提升效能與降低人為錯誤影響的同時,兼顧可用性與安全性。

將最小權限原則做為安全策略的基本要素,有助於保護組織免於未經授權存取資源與資料所造成的衝擊。這些衝擊可能包括資料外洩(Data Breach)、勒索軟體攻擊及其他惡意活動所導致的財務與聲譽損失。

最小權限原則的重要性之一,在於它能降低企業的攻擊面(Attack Surface)。不僅能減少風險與漏洞,還能為 IT 與資安團隊節省寶貴的時間與成本。此外,它也能減少需防禦的威脅數量,特別是那些透過入侵低權限帳戶來試圖存取關鍵系統與敏感資料的攻擊者所帶來的風險。

透過在端點上實施最小權限原則,也能防止惡意軟體的擴散。這可以阻止惡意軟體利用提升的權限來擴大存取範圍並橫向移動,進而感染其他系統。

最小權限原則還可以防止未經授權的內部人員存取敏感資訊與系統。這不僅提升整體資料安全性,也有助於因應法規遵循需求,並降低惡意內部人員活動的發生率。

最小權限原則的優勢

稽核準備就緒 實作最小權限原則所附帶的監控、日誌記錄與報告功能,提供稽核所需的大部分資訊,進而簡化稽核程序,並確保符合法規的安全要求。

更好的資料分類 最小權限原則要求網路管理員隨時掌握誰擁有對哪些資源的存取權限,這有助於維持網路的安全性與健全性。

增強可視性 實作最小權限原則需要提升對使用者行為的可視性,有助於加速識別與緩解網路攻擊(Cyber Attack)和惡意內部人員的活動。

提高資料安全性 在安全策略中採用最小權限原則,可以透過限制個人僅能存取其執行工作所需的資訊,來防止資料外洩帶來的災難性影響。由於大多數使用者僅需存取極少量資料,因此在發生外洩事件時,潛在損害的風險將大幅降低。

加強對 IT 資產的保護 最小權限原則的安全效益不僅止於防範網路犯罪分子。PoLP 透過限制使用者僅能存取其完成任務所需的資源,有效防止因錯誤、惡意行為或疏忽所導致的人為失誤對資料、系統、網路及其他資源造成負面影響。

最小化攻擊面 最小權限原則可有效縮小攻擊面。透過將網路犯罪分子限制在使用者有權存取的最少資源內,它可以減少網路犯罪分子存取敏感資料或發動攻擊的途徑。

營運效率與效能 PoLP 有助於提升營運效率與系統效能,因為它能降低因資料外洩、惡意軟體擴散或未經授權的應用程式所造成的系統停機風險。

限制惡意軟體擴散 最小權限原則能有效限制惡意軟體在網路中的擴散,透過阻止橫向移動,防止攻擊者利用此方式對其他連接裝置發動攻擊。此外,它也可防止使用者安裝未經授權的應用程式,並強制落實權限分離。

實作最小權限原則

以下是組織在實作最小權限原則時可採取的幾項步驟。

對特殊權限帳戶進行稽核 定期審查特殊權限使用者帳戶是最小權限原則的重要功能,包含對網路、系統、軟體應用程式、程序與程式的身分與權限進行檢查。

停用不必要的資源存取權限 遵循最小權限原則的安全計畫,將會停用預設權限,並根據實際需求恢復所需的權限。

依個別情況提升權限 為維持最小權限原則實作的效能,應根據實際情況授予使用者暫時提升的存取權限。

移除未使用的帳戶 最小權限原則也包括無權限。若使用者不再需要存取部分或全部資源,應立即撤銷其權限,並應設有系統機制以定期評估使用情況,以確保存取控制(Access Control)最佳化。

監控端點 透過持續監控、記錄和稽核端點上的所有活動,並維護端點資產清單,以實作最小權限原則。

定期審查記錄 最小權限原則包含對使用情形的監控與記錄,而持續且有排程的記錄審查至關重要。若未定期審查記錄,未經授權的存取行為可能會未被察覺。

重新評估帳戶和權限 為最佳化最小權限原則的實作效能,應至少每月或每季進行一次存取權限審查。若發現授予過高授權,應立即撤銷,並應評估閒置帳戶是否仍需保留啟用。

分隔使用者 在實作最小權限原則時,還需要根據使用者的角色或所在地區,將其分為較高權限與較低權限群組以及子群組。

將使用者存取權限設定為最小權限 在實作最小權限原則時,應將最小權限做為預設設定。若使用者因執行任務需額外授權,則在任務完成後應立即撤銷該權限,以防止權限擴張。

使用權限包圍 權限包圍 (Privilege bracketing) 機制透過僅在使用者完成任務所需時間內授予權限,以落實最小權限原則。

什麼是必須知情和最小權限原則?

「必須知情(need to know)」和「最小權限(least privilege)」這兩個術語經常被混淆。最小權限原則和必須知情原則的主要區別在於適用範圍的不同。從高層次上講,必須知情原則是指使用者何時有正當理由存取資源,而最小權限是指實作適當的存取控制,以根據角色或工作職能授予特定權限。 最小權限原則著重於技術性的存取控制和可執行的操作。例如,如果使用者被授予某個資料夾的讀取權限,該使用者就只能讀取該資料夾中的檔案,而不能對這些檔案執行其他操作 (例如,編輯、列印或分享)。 必須知情原則涵蓋了更廣泛的主題,重點在於哪些使用者能夠查看特定檔案中的機密或保密資訊。這類存取權限通常不一定與使用者的角色或職務功能相關,這點與最小權限原則相當不同。

根據必須知情原則,安全許可或其他核准並不直接決定存取權限。使用者只有在工作上確有需求的情況下,才能存取相關資訊。通常某個群體或個人需要存取這些資訊是基於業務理由。這是由系統擁有者、請求者的主管、專案負責人或其他授權單位來決定。

必須知情原則與最小權限原則的區別

區分最小權限原則和必須知情原則的方法包括:

  • 存取控制-最小權限通常透過角色型存取控制(RBAC , Role-based Access Control)來實施,而必須知情則通常涉及更精細層級的存取控制,例如強制存取控制 (MAC) 和自主存取控制 (DAC)。
  • 網路攻擊預防-最小權限存取在降低來自外部威脅發動者的網路攻擊風險(例如資料外洩(Data Breach)、勒索軟體與惡意軟體)方面扮演關鍵角色;而必須知情原則更著重於降低來自內部威脅的風險。
  • 重點-必須知情原則主要著重於保護敏感資訊。最小權限原則通常適用於跨應用程式、端點和系統的權限和存取控制。

必須知情原則和最小權限原則如何協同運作的範例

銷售管理員請求存取客戶資料,以便為銷售副總裁製作報告。該使用者擁有正當的存取理由:必須知情。若採用最小權限存取控制,則授予銷售管理員的存取權限將決定其存取條件。根據最小權限原則所設定的控制措施將決定該管理員擁有的存取權限類型,例如唯讀、複製、列印、編輯或分享等。

與最小權限原則相關的術語和概念

權限擴張(Privilege creep) 權限擴張是指使用者在一段時間內被授予額外的存取權限。通常,當一個人因職務變動或承擔新責任而被賦予新的存取權限,但原先不再需要的權限卻未被撤銷,導致存取權限累積或出現超出實際需求的權限升級。

採用最小權限原則可以透過定期審查和更新存取權限,來防止權限擴張。

權限包圍(Privilege bracketing) 權限包圍是指在任務即將執行之前才提升存取權限,並在任務完成後立即撤銷該權限。這種做法可確保權限只在最短時間內維持提升。

權限分離(Privilege separation) 透過權限分離,系統的功能被劃分為不同的區塊。使用者根據其需求獲指派特定區塊的存取權限,藉此降低暴露風險並減少攻擊面。

權限升級(Privilege escalation) 權限升級是一種網路攻擊,攻擊者藉此未經授權取得較高等級的權限或使用者權利。透過在端點套用最小權限原則,可以抑制此類攻擊,因為攻擊者無法利用提升後的權限來擴大存取範圍,進而在系統中橫向移動、執行惡意軟體或其他惡意活動。

零信任安全(Zero trust security) 零信任安全的核心概念是:無論裝置、使用者、工作負載或系統是否位於資安邊界之內或之外,都不應被預設為可信。其他資安模型通常隱含地假設位於網路內部的資源是可信的,因為它已被驗證為授權且合法。而在零信任模型中,每個存取要求都必須經過評估與授權後,才能獲得存取權限。

零信任網路存取 (ZTNA , Zero Trust Network Access) ZTNA 也稱為軟體定義邊界 (SDP , Software-Defined Perimeter),透過微分段控制重要資產所在位置的存取權限。ZTNA 接著套用最小權限原則,以識別並阻止惡意或未授權的橫向移動行為。

最小權限原則能帶來最大效益

有效實作執行最小權限原則可有效保障安全。它有助於強化網路安全和與人為錯誤相關的安全控管,也能提升整體生產力與效能。

套用最小權限原則所帶來的好處不勝枚舉,且已得到證實。我們鼓勵各種規模和各領域的組織將最小權限原則做為其安全態勢的核心支柱。

最小權限原則常見問答集

什麼是最小權限原則法律?

最小權限是一種網路安全實務,也是零信任網路安全模型的基本原則。最小權限原則是許多法律和標準的要求,包括歐盟的《一般資料保護規範》 (GDPR)、《健康保險可攜性和責任法案》(HIPAA)、《沙賓法案》(SOX) 以及支付卡產業安全標準委員會的《支付卡產業資料安全標準》(PCI DSS)。

職能分工(SoD)和最小權限原則(PoLP)有什麼區別?

最小權限原則著重於授予員工的存取權限,其目的是僅提供執行指派任務所需的最低權限。職能分工(SoD , Segregation of Duties)同樣可能包含存取限制,但主要目的是將任務和存取權限分配給多名員工。

最小權限原則的目標是限制敏感資料的暴露,而職能分工則會限制存取權限,目的是限制個人造成損害或犯罪。例如,最小權限原則會限制只有因工作需要的人才能存取會計系統;而從職能分工的角度來看,會限制單一使用者同時具有授權與支付的權限。在這種情況下,一個人會負責授權付款,然後由另一個人審核該請求,如果確認請求合理,才會執行付款。

最小權限原則面臨哪些主要挑戰?

最小權限原則是一種有效且重要的網路安全策略和實務,但如果實作不當或管理不善,也會帶來挑戰。以下是與最小權限原則相關的一些常見挑戰。

最小存取權限(Minimal access) 管理者與系統管理員常常難以為存取權限取得最佳平衡。當權限過於嚴格時,員工會感到難以適從,並可能試圖繞過安全控管。此外,過度限制的權限會對生產力產生負面影響,因為使用者需要額外的步驟才能取得所需的資源。

過多的權限(Excessive permissions) 相反地,授予過多的權限會使敏感資料面臨曝露風險。當管理員無法確定某使用者是否真的需要特定權限時,常常會先行開放存取,之後再視情況收回。這種做法的目的是減輕客服支援團隊因應使用者需求而承受的壓力,同時也可降低使用者的不滿情緒。當所有使用者都被授予相同的存取權限時,過多的權限也會成為一個問題。這種缺乏精細存取控制擴大了內部和外部威脅的攻擊面。

微觀管理與瓶頸(Micromanagement and bottlenecks) 將使用者的存取權限設得過於嚴格,可能導致微觀管理的情況,以及當基層員工必須與高階員工協調以取得所需資源時,所帶來的種種挫折。此外,這也會造成流程瓶頸,因為使用者需要等待授權才能執行其指派的任務。

長期有效的存取權限(Evergreen access) 當存取管理流程不完善時,未定期審查與更新使用者的存取權限會帶來問題。在這種情況下,一旦使用者被授予存取權限,他們的權限就不會再變更。當使用者不再需要最初賦予的高權限時,會導致權限過度佈建。當使用者的需求發生變化並需要更多的存取權限時,這也會導致過度限制所帶來的問題。

日期: 2025年9月2日閱讀時間:6 分鐘
網路安全零信任

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們