Принцип наименьших привилегий
В информационной безопасности , компьютерных науках и других областях принцип наименьших привилегий ( PoLP ), также известный как принцип минимальных привилегий ( PoMP ) или принцип наименьших полномочий ( PoLA ), требует, чтобы на определенном уровне абстракции вычислительной среде каждый модуль (такой как процесс, пользователь или программа, в зависимости от предмета) должен иметь возможность доступа только к той информации и ресурсам, которые необходимы для его законной цели. [1]
Принцип означает предоставление учетной записи пользователя или процесса только тех привилегий, которые необходимы для выполнения его предполагаемой функции. Например, учетная запись пользователя, предназначенная исключительно для создания резервных копий, не требует установки программного обеспечения: следовательно, она имеет права только на запуск резервного копирования и приложений, связанных с резервным копированием. Любые другие привилегии, такие как установка нового программного обеспечения, блокируются. Этот принцип применим также к пользователю персонального компьютера, который обычно работает с обычной учетной записью пользователя и открывает привилегированную, защищенную паролем учетную запись только тогда, когда этого абсолютно требует ситуация.
Применительно к пользователям также используются термины «наименьший доступ пользователя » или « учетная запись пользователя с наименьшими привилегиями» (LUA), ссылаясь на концепцию, согласно которой все учетные записи пользователей должны работать с как можно меньшим количеством привилегий , а также запускать приложения с как можно меньшим количеством привилегий. .
Принцип наименьших привилегий общепризнан как важное соображение при проектировании для улучшения защиты данных и функциональных возможностей от сбоев ( отказоустойчивость ) и злонамеренного поведения .
На практике существует несколько конкурирующих определений истинных наименьших привилегий. Поскольку сложность программы быстро растет, растет и количество потенциальных проблем, что делает прогнозный подход непрактичным. Примеры включают значения переменных, которые он может обрабатывать, адреса, которые ему понадобятся, или точное время, когда такие вещи потребуются. Системы возможностей объекта позволяют, например, отложить предоставление одноразовой привилегии до того момента, когда она будет использована. В настоящее время наиболее близким практическим подходом является устранение привилегий, которые можно вручную оценить как ненужные. Результирующий набор привилегий обычно превышает истинный минимум необходимых привилегий для процесса.
Другим ограничением является степень детализации контроля операционной среды над привилегиями для отдельного процесса. [4] На практике редко возможно контролировать доступ процесса к памяти, время обработки, адреса устройств ввода-вывода или режимы с точностью, необходимой для предоставления только точного набора привилегий, которые потребуются процессу.
