최소 권한 원칙 따르기

최소 권한 원칙은 핵심적인 제로 트러스트 개념입니다. 최소 권한 구현은 사용자, 애플리케이션, 시스템 및 기타 구성요소에 작업 수행에 필요한 최소 권한 수준만 제공하는 것을 의미합니다.

조직 내에서 책임을 분리할 수 있도록 애플리케이션에 세분성을 설계합니다. 예를 들어 분석 확인만을 목적으로 하는 사용자 계정에는 제품 카탈로그를 관리하는 권한이 필요하지 않습니다. 그러므로 사용자 계정에 Business Manager의 Analytics를 확인하는 권한만 지정됩니다. 카탈로그를 관리하는 것과 같은 기타 권한은 차단됩니다.

효율적으로 관리된 역할 기반 접근 제어(RBAC)를 통해 이러한 구현이 가능합니다. RBAC를 사용하면 권한 집합을 기반으로 역할을 생성할 수 있습니다. 이제 사용자의 권한을 관리하는 것이 해당 역할을 할당하는 것만큼 간단해졌습니다.

최소 권한은 다음과 같은 이점을 제공합니다.

• 명시적인 권한 없이 사용자는 예기치 않게 높은 권한이 필요한 작업을 수행할 수 없습니다.
• 악의적인 내부자가 권한이 초과된 계정을 사용하여 공격할 수 없습니다.
• 공격자가 쉽게 공격하기 위해 낮은 수준의 권한을 활용할 수 없습니다.

예를 들어 모든 Business Manager 사용자와 OCAPI 클라이언트는 기본적인 거부 권한으로 설정됩니다. 각 사용자가 작업을 수행하도록 허용하는 권한 제공은 관리자의 책임입니다.

또한 관리자는 모든 사용자, 역할 및 권한이 업데이트되고 관련이 있는지 확인해야 합니다. 계정에 대한 정기적인 감사는 프로세스에 도움이 됩니다.