Принцип наименьших привилегий

Безопасность за счет предоставления только необходимого доступа

В информационной безопасности , информатике и других областях принцип наименьших привилегий ( PoLP ), также известный как принцип минимальных привилегий ( PoMP ) или принцип наименьших полномочий ( PoLA ), требует, чтобы на определенном уровне абстракции вычислительной среды каждый модуль (такой как процесс, пользователь или программа, в зависимости от субъекта) имел возможность доступа только к той информации и ресурсам, которые необходимы для его законного назначения. ^[1]

Подробности

Принцип означает предоставление любым учетным записям пользователей или процессам только тех привилегий, которые по сути жизненно важны для выполнения их предполагаемых функций. Например, учетная запись пользователя, предназначенная исключительно для создания резервных копий, не нуждается в установке программного обеспечения: следовательно, она имеет права только на запуск резервного копирования и приложений, связанных с резервным копированием. Любые другие привилегии, такие как установка нового программного обеспечения, блокируются. Принцип применим также к пользователю персонального компьютера, который обычно работает в обычной учетной записи пользователя и открывает привилегированную, защищенную паролем учетную запись только тогда, когда ситуация этого абсолютно требует.

Применительно к пользователям также используются термины « учетная запись пользователя с наименьшим доступом» или «учетная запись пользователя с наименьшими привилегиями» (LUA), подразумевающие, что все учетные записи пользователей должны работать с минимальными привилегиями , а также запускать приложения с минимальными привилегиями.

Принцип (наименьших привилегий) широко признан важным фактором при проектировании, направленным на улучшение и придание столь необходимого «усиления» защите данных и функциональности от сбоев ( отказоустойчивости ) и вредоносного поведения .

Преимущества этого принципа включают в себя:

• Интеллектуальная безопасность. Когда код ограничен в объеме изменений, которые он может внести в систему, легче тестировать его возможные действия и взаимодействия с другими приложениями, нацеленными на безопасность. На практике, например, приложения, работающие с ограниченными правами, не будут иметь доступа к выполнению операций, которые могут привести к сбою машины или отрицательно повлиять на другие приложения, работающие в той же системе.
• Лучшая безопасность системы. Когда код ограничен в общесистемных действиях, которые он может выполнять, уязвимости в одном приложении не могут быть использованы для эксплуатации остальной части машины. Например, Microsoft заявляет: «Работа в стандартном пользовательском режиме дает клиентам повышенную защиту от непреднамеренного повреждения на уровне системы, вызванного « атаками на разрушение » и вредоносными программами , такими как руткиты , шпионское ПО и необнаруживаемые вирусы ». ^[2]
• Простота развертывания. В целом, чем меньше привилегий требуется приложению, тем проще его развертывать в более крупной среде. Обычно это является результатом первых двух преимуществ: приложения, которые устанавливают драйверы устройств или требуют повышенных привилегий безопасности, обычно имеют дополнительные шаги, вовлеченные в их развертывание. Например, в Windows решение без драйверов устройств может быть запущено напрямую без установки, в то время как драйверы устройств должны быть установлены отдельно с помощью службы установщика Windows, чтобы предоставить драйверу повышенные привилегии. ^[3]

На практике существует несколько конкурирующих определений истинной (наименьшая привилегия). Поскольку сложность программы быстро растет, растет и количество потенциальных проблем, что делает предиктивный подход непрактичным. Примерами служат значения переменных, которые она может обрабатывать, адреса, которые ей понадобятся, или точное время, когда такие вещи потребуются. Системы возможностей объектов позволяют, например, отложить предоставление одноразовой привилегии до того времени, когда она будет использована. В настоящее время наиболее близким практическим подходом является исключение привилегий, которые можно вручную оценить как ненужные. Результирующий набор привилегий обычно превышает истинные минимальные требуемые привилегии для процесса.

Другим ограничением является детализация контроля операционной среды над привилегиями отдельного процесса. ^[4] На практике редко возможно контролировать доступ процесса к памяти, времени обработки, адресам устройств ввода-вывода или режимам с точностью, необходимой для обеспечения только точного набора привилегий, которые потребуются процессу.

Оригинальная формулировка принадлежит Джерому Зальцеру : ^[5]

Каждая программа и каждый привилегированный пользователь системы должны работать, используя наименьший объем привилегий, необходимый для выполнения работы.

—  Джером Зальцер , отдел коммуникаций ACM

Питер Дж. Деннинг в своей статье «Отказоустойчивые операционные системы» рассматривает ее в более широком контексте среди «четырех основных принципов отказоустойчивости».

«Динамическое назначение привилегий» ранее обсуждалось Роджером Нидхэмом в 1972 году. ^{[6] [7]}

Исторически самым старым экземпляром (с наименьшими привилегиями) является, вероятно, исходный код login.c , который начинает выполнение с правами суперпользователя и — как только они больше не нужны — отклоняет их с помощью setuid() с ненулевым аргументом, как показано в исходном коде Unix версии 6 .

Выполнение

Ядро всегда работает с максимальными привилегиями, поскольку оно является ядром операционной системы и имеет доступ к оборудованию. Одной из основных обязанностей операционной системы, особенно многопользовательской операционной системы, является управление доступностью оборудования и запросами на доступ к нему от запущенных процессов . Когда ядро ​​выходит из строя, механизмы, с помощью которых оно поддерживает состояние , также выходят из строя. Поэтому, даже если есть способ восстановления ЦП без жесткого сброса , безопасность продолжает обеспечиваться, но операционная система не может должным образом отреагировать на сбой, поскольку обнаружить сбой не удалось. Это происходит потому, что выполнение ядра либо останавливается, либо счетчик программ возобновляет выполнение откуда-то из бесконечного и, как правило, нефункционального цикла . ^{[ требуется цитата ]} Это было бы похоже либо на амнезию (сбой выполнения ядра), либо на попадание в замкнутый лабиринт, который всегда возвращается в исходную точку (замкнутые циклы).

Принцип наименьших привилегий, продемонстрированный кольцами привилегий для Intel x86

Если выполнение возобновляется после сбоя путем загрузки и запуска троянского кода , автор троянского кода может узурпировать контроль над всеми процессами. Принцип наименьших привилегий заставляет код запускаться с наименьшим возможным уровнем привилегий/разрешений. Это означает, что код, который возобновляет выполнение кода — будь то троян или просто выполнение кода, начавшееся из неожиданного места — не будет иметь возможности выполнять вредоносные или нежелательные процессы. Один из методов, используемых для достижения этого, может быть реализован в аппаратном обеспечении микропроцессора . Например, в архитектуре Intel x86 производитель разработал четыре (кольцо 0 — кольцо 3) работающих «режима» с постепенными степенями доступа — во многом похожих на системы допуска к секретной информации в оборонных и разведывательных агентствах. ^{[ требуется цитата ]}

Как реализовано в некоторых операционных системах, процессы выполняются с потенциальным набором привилегий и активным набором привилегий . ^{[ необходима цитата ]} Такие наборы привилегий наследуются от родителя, как определено семантикой fork () . Исполняемый файл , который выполняет привилегированную функцию — тем самым технически составляя компонент TCB и одновременно называемый доверенной программой или доверенным процессом — также может быть отмечен набором привилегий. Это логическое расширение понятий set user ID и set group ID . ^{[ необходима цитата ]} Наследование привилегий файла процессом определяется семантикой семейства системных вызовов exec () . Точный способ взаимодействия потенциальных привилегий процесса, фактических привилегий процесса и привилегий файла может стать сложным. На практике минимальные привилегии практикуются путем принудительного запуска процесса только с теми привилегиями, которые требуются для задачи. Соблюдение этой модели довольно сложно, а также подвержено ошибкам.

Похожие принципы

Концепция минимизации базы доверенных вычислений (TCB) критериев оценки доверенных компьютерных систем (TCSEC) является гораздо более строгим требованием, которое применимо только к функционально самым сильным классам гарантий (ссылка на раздел критериев оценки доверенных компьютерных систем Подразделения и классы), а именно к классам B3 и A1 (которые функционально идентичны, но различаются с точки зрения требуемых доказательств и документации).

Наименьшие привилегии часто ассоциируются с ограничением привилегий : то есть, принятием необходимых привилегий в последний возможный момент и отклонением их, как только они перестают быть строго необходимыми, таким образом, якобы уменьшая последствия ошибочного кода, который непреднамеренно использует больше привилегий, чем заслуживает. Наименьшие привилегии также интерпретировались в контексте распределения разрешений дискреционного управления доступом (DAC), например, утверждая, что предоставление пользователю U доступа на чтение/запись к файлу F нарушает наименьшие привилегии, если U может выполнять свои авторизованные задачи, имея только разрешение на чтение.

Смотрите также

• Контроль учетных записей пользователей
• Безопасность на основе возможностей
• Компартментализация (интеллект)
• Запутанная проблема депутата
• Инкапсуляция (объектно-ориентированное программирование)
• Нужно знать
• Брекетинг привилегий
• Повышение привилегий
• Отзыв привилегий (вычисления)
• Разделение привилегий
• Защитное кольцо
• setuid
• судо

Ссылки

1. Saltzer, Jerome H. ; Schroeder, Michael D. (1975). «Защита информации в компьютерных системах». Труды IEEE . 63 (9). Институт инженеров по электротехнике и электронике (IEEE): 1278–1308. doi :10.1109/proc.1975.9939. ISSN  0018-9219. OCLC  5871551104. S2CID  269166.
2. Джонатан, Кларк; DABCC Inc. «Гуру виртуализации пишет: «Пользовательский режим — это хорошая вещь: развертывание на заблокированных учетных записях без повышения уровня безопасности»». Архивировано из оригинала 10 февраля 2013 г. Получено 15 марта 2013 г.
3. Аарон Маргосис (август 2006 г.). «Проблемы привилегий: поиск и исправление ошибок LUA». Microsoft .
4. "Мэтт Бишоп, Компьютерная безопасность: искусство и наука, Бостон, Массачусетс: Addison-Wesley, 2003. стр. 343-344 цитируется Barnum & Gegick 2005". Архивировано из оригинала 20-10-2007 . Получено 17-11-2007 .
5. Saltzer, Jerome H. (1974). «Защита и контроль обмена информацией в мультикомпьютерах». Сообщения ACM . 17 (7): 388–402. CiteSeerX 10.1.1.226.3939 . doi :10.1145/361011.361067. ISSN  0001-0782. S2CID  326132. 
6. Needham, RM (1972). «Системы защиты и реализации защиты». Труды Объединенной компьютерной конференции AFIPS '72, 5-7 декабря 1972 г., часть I. стр. 571–578. doi :10.1145/1479992.1480073. S2CID  7371342.
7. Фред Б. Шнайдер. «Наименьшие привилегии и больше» (PDF) .

Библиография

• Бен Манкин, Формализация систем защиты , докторская диссертация, Университет Бата, 2004 г.
• PJ Denning (декабрь 1976 г.). «Отказоустойчивые операционные системы». ACM Computing Surveys . 8 (4): 359–389. doi :10.1145/356678.356680. S2CID  207736773.
• Джерри Х. Зальцер, Майк Д. Шредер (сентябрь 1975 г.). «Защита информации в компьютерных системах». Труды IEEE . 63 (9): 1278–1308. CiteSeerX  10.1.1.126.9257 . doi :10.1109/PROC.1975.9939. S2CID  269166.
• Deitel, Harvey M. (1990). Введение в операционные системы (пересмотренное первое издание). Addison-Wesley. стр. 673. ISBN 978-0-201-14502-1.страница 31.
• Шон Мартин (апрель 2012 г.). «Не теряются ли основы безопасности под покровом облачных технологий и мобильных устройств?». Журнал SC .
• Институт SANS (май 2013 г.). "20 критических элементов управления безопасностью" (PDF) . Институт SANS . Архивировано из оригинала (PDF) 2013-11-01.

Внешние ссылки

• Статья Зальцера и Шредера, цитируемая в ссылках.
• АНБ (то самое, которое внедрило SELinux) говорит о принципе наименьших привилегий
• Обсуждение реализации принципа наименьших привилегий в Solaris
• «Доказательство того, что LUA делает вас безопаснее» Даны Эпп Архивировано 2010-05-23 на Wayback Machine
• Применение принципа наименьших привилегий к учетным записям пользователей в Windows XP, Microsoft
• «Коммерческие предприятия подвергают риску нашу критическую инфраструктуру» CSO
• Как успешно реализовать принцип наименьших привилегий