Prinsip keamanan apa yang disebut ketika pengguna dan aplikasi HANYA diberikan izin minimum yang diperlukan untuk pekerjaan mereka dan TIDAK memberikan izin yang tidak perlu?
Soal mengidentifikasi nama prinsip keamanan yang hanya memberikan izin minimum yang diperlukan.
Prinsip pertahanan berlapis
Pertahanan berlapis adalah prinsip keamanan praktis yang meminimalkan dampak pelanggaran dengan melapisi beberapa lapisan pertahanan seperti jaringan, server, dan aplikasi.
Namun, soal ini menggambarkan meminimalkan izin yang diberikan kepada setiap pengguna, bukan cara melapisi pertahanan, sehingga pilihan ini salah.
Prinsip pemisahan tugas
Pemisahan tugas adalah prinsip praktis yang mencegah konsentrasi kekuasaan pada satu orang dengan mendistribusikan aktivitas kritis ke beberapa peran.
Meskipun berkaitan dengan manajemen izin, soal ini menggambarkan meminimalkan jumlah izin yang diberikan kepada setiap individu, bukan mendistribusikan peran, sehingga pilihan ini salah.
Prinsip hak istimewa minimum
Benar. Prinsip hak istimewa minimum memberikan hanya izin minimum yang diperlukan untuk melaksanakan pekerjaan. Dengan tidak memberikan izin yang tidak perlu, prinsip ini meminimalkan cakupan dampak jika terjadi kesalahan operasi atau kebocoran kredensial. Ini adalah prinsip dasar desain IAM.
Prinsip Zero Trust
Zero Trust adalah model keamanan praktis yang tidak mempercayai bahkan lalu lintas jaringan internal secara implisit dan memverifikasi setiap akses.
Fokusnya adalah pada «jangan pernah percaya, selalu verifikasi», berbeda dari deskripsi dalam soal ini tentang meminimalkan izin yang diberikan, sehingga pilihan ini salah.
«Izin minimum yang diperlukan» mengarah pada prinsip hak istimewa minimum. Ini adalah inti praktik terbaik IAM dan meminimalkan dampak kebocoran dan kesalahan operasi. Hati-hati tidak mengacaukan dengan prinsip praktis lainnya: pertahanan berlapis (melapisi pertahanan) dan pemisahan tugas (mendistribusikan wewenang ke beberapa orang). Gunakan kata kunci «minimum yang diperlukan» untuk membedakannya.