Least Privilege
Least Privilege คือให้สิทธิ์เข้าถึงน้อยที่สุดเท่าที่ทำงานได้ เพื่อลดความเสียหายเมื่อบัญชีถูกเจาะ.
เริ่มอ่านตรงนี้ก่อน
อธิบายแบบง่าย
Least Privilege คือเรื่องที่ช่วยให้เราใช้ป้องกันข้อมูล สิทธิ์ key token และความเสี่ยงจากการแชร์ผิดทางได้ถูกทางขึ้น
ระดับ
เหมาะกับคนที่เริ่มลงมือทำแล้ว
ใช้เมื่อไหร่
เมื่อมอบสิทธิ์เข้า SharePoint, รายงาน, แอป, flow หรือฐานข้อมูล.
อ่านแล้วทำอะไรต่อ
ให้ทีมหลักอยู่กลุ่ม Members (แก้ได้), ผู้เกี่ยวข้องอื่นอยู่กลุ่ม Visitors (ดูอย่างเดียว), จำกัด Owners ไว้ 1-2 คน แทนการให้ทุกคนเป็นเจ้าของ.
เห็นภาพ: ทริคนี้เป็นยังไง
ให้ Owner ทุกคน เข้าได้ทุกโฟลเดอร์ ไม่เคยทบทวน
ให้ Read/Contribute ตามงาน เข้าเฉพาะที่เกี่ยวข้อง ทบทวนสิทธิ์เป็นระยะ
ใช้ตอนไหน?
- เมื่อมอบสิทธิ์เข้า SharePoint, รายงาน, แอป, flow หรือฐานข้อมูล.
- เมื่อตั้ง connector หรือ service account ให้ระบบทำงานอัตโนมัติ.
- เมื่อทบทวนสิทธิ์เป็นรอบ (access review) เพื่อถอนสิทธิ์ที่ไม่ใช้แล้ว.
ความหมาย
หลักการคือผู้ใช้ แอป หรือ service account (บัญชีที่ระบบใช้แทนคน) ควรมีสิทธิ์เท่าที่งานต้องการจริง ไม่มากกว่านั้น. ถ้าใครต้องการแค่ดู ก็ให้ view ไม่ให้ edit; ถ้าต้องการชั่วคราว ก็ให้ชั่วคราวแล้วถอน. เมื่อบัญชีหลุด ผู้ไม่หวังดีจะทำได้แค่ในขอบเขตสิทธิ์ที่จำกัดไว้.
ขั้นตอนให้สิทธิ์แบบจำกัด
เริ่มจากไม่มีสิทธิ์ -> ให้เท่าที่งานต้องการ -> ใช้กลุ่มแทนรายคน -> ให้สิทธิ์ชั่วคราวถ้าทำได้ -> ทบทวนและถอนเป็นรอบ.
Default deny -> Grant minimum needed -> Use groups not individuals -> Time-bound access -> Periodic review & revokeตัวอย่างการใช้
สิทธิ์ใน SharePoint site งานโครงการ
ให้ทีมหลักอยู่กลุ่ม Members (แก้ได้), ผู้เกี่ยวข้องอื่นอยู่กลุ่ม Visitors (ดูอย่างเดียว), จำกัด Owners ไว้ 1-2 คน แทนการให้ทุกคนเป็นเจ้าของ.