Nguyên tắc bảo mật nào chỉ cấp cho người dùng và ứng dụng các quyền TỐI THIỂU cần thiết cho công việc của họ và KHÔNG cấp các quyền không cần thiết?
Câu hỏi xác định tên nguyên tắc bảo mật chỉ cấp các quyền tối thiểu cần thiết.
Nguyên tắc phòng thủ theo chiều sâu
Phòng thủ theo chiều sâu là một nguyên tắc bảo mật thực tế giảm thiểu tác động của các vi phạm bằng cách xếp lớp nhiều lớp phòng thủ như mạng, máy chủ và ứng dụng.
Tuy nhiên, câu hỏi này mô tả việc giảm thiểu các quyền được cấp cho từng người dùng, không phải cách xếp lớp phòng thủ, vì vậy câu trả lời này sai.
Nguyên tắc phân tách nhiệm vụ
Phân tách nhiệm vụ là một nguyên tắc thực tế ngăn chặn việc tập trung quyền lực vào một người bằng cách phân phối các hoạt động quan trọng cho nhiều vai trò.
Mặc dù nó liên quan đến quản lý quyền, câu hỏi này mô tả việc giảm thiểu lượng quyền được cấp cho từng người dùng cá nhân, không phải phân phối vai trò, vì vậy câu trả lời này sai.
Nguyên tắc đặc quyền tối thiểu
Đúng. Nguyên tắc đặc quyền tối thiểu cấp chỉ các quyền tối thiểu cần thiết để thực hiện công việc. Bằng cách không cấp các quyền không cần thiết, nó giảm thiểu phạm vi ảnh hưởng trong trường hợp thao tác nhầm hoặc rò rỉ thông tin xác thực. Đây là nguyên tắc cơ bản của thiết kế IAM.
Nguyên tắc không tin tưởng (Zero Trust)
Zero Trust là một mô hình bảo mật thực tế không tin tưởng ngay cả lưu lượng mạng nội bộ một cách ngầm định và xác minh mọi quyền truy cập.
Trọng tâm của nó là «không bao giờ tin tưởng, luôn xác minh», không giống như mô tả trong câu hỏi này về việc giảm thiểu các quyền được cấp, vì vậy câu trả lời này sai.
«Quyền tối thiểu cần thiết» chỉ đến nguyên tắc đặc quyền tối thiểu. Đây là cốt lõi của các thực hành tốt nhất IAM và giảm thiểu tác động của rò rỉ và thao tác nhầm. Cẩn thận không nhầm với các nguyên tắc thực tế khác: phòng thủ theo chiều sâu (xếp lớp phòng thủ) và phân tách nhiệm vụ (phân phối quyền cho nhiều người). Dùng từ khóa «tối thiểu cần thiết» để phân biệt.