O Que É o Princípio do Menor Privilégio? Apenas o Que Você Precisa
O princípio do menor privilégio diz que toda identidade deve ter apenas o acesso mínimo necessário para fazer seu trabalho, e nada mais.
O princípio do menor privilégio é uma das ideias mais duradouras em segurança. Seja a identidade uma pessoa, um serviço ou um job de pipeline, você concede exatamente o acesso de que ela precisa e nada extra. O retorno é a contenção: quando algo é comprometido, o menor privilégio garante que o atacante herde apenas uma fração do acesso, e não as chaves de tudo.
O que significa menor privilégio
Negue o acesso por padrão e, em seguida, conceda permissões específicas para tarefas específicas. Um job de build que só executa testes não deve ser capaz de fazer deploy. Uma integração somente leitura não deve ser capaz de escrever. Toda permissão extra é risco extra se a identidade for comprometida.
Por que funciona
- Uma identidade comprometida só pode fazer aquilo que lhe foi permitido.
- Permissões restritas reduzem o raio de impacto de qualquer violação.
- Um escopo bem delimitado facilita a detecção de atividade anômala.
Menor privilégio em CI/CD
Os pipelines são candidatos ideais porque rodam sem supervisão com poder real. Delimite o escopo do token do workflow por job, restrinja as roles de nuvem a ações e recursos específicos e evite uma credencial mestra reutilizada em todo lugar. Cada decisão de escopo contém um possível vazamento.
O trade-off de conveniência
Permissões amplas são mais fáceis no momento: um token que pode fazer tudo simplesmente funciona. O menor privilégio exige mais configuração, mas é a diferença entre um incidente contido e um comprometimento total quando uma credencial vaza.
Aplicando em todos os lugares
O menor privilégio se aplica a tokens, roles de nuvem, contas de banco de dados e acesso humano da mesma forma. Ele combina naturalmente com credenciais de curta duração: escopo mínimo mais tempo de vida mínimo é a combinação mais forte para qualquer credencial de pipeline.
Menor privilégio e runners
Um runner só pode fazer aquilo que o job tem permissão para fazer, então um escopo bem delimitado limita o que um runner comprometido alcança. Runners efêmeros e isolados (como os runners gerenciados do Latchkey) reforçam isso ao não carregar contexto privilegiado de um job para o próximo.
Principais conclusões
- O menor privilégio concede a cada identidade apenas o acesso de que ela precisa, nada mais.
- Ele contém violações ao limitar o que uma identidade comprometida pode alcançar.
- Em CI/CD, significa tokens de escopo restrito e curta duração e roles de nuvem rigidamente delimitadas.