管理机器身份的必要性与最佳实践

关键点摘要

机器身份的数量已经远超人类身份。管理机器身份是确保企业安全的重要环节。最佳实践包括发现和移除闲置身份、管理特权访问、遵循秘密管理最佳实践等。

在当前这个机器日益自主和互联的时代，管理机器身份已经变得比以往任何时候都更加重要。根据Gartner的估计，机器身份的数量比人类身份多出约45倍。

机器身份或称为非人类身份NHI，如应用程序编程接口API、服务账户和机器人过程自动化RPA，在整个企业中执行着重要的任务。它们连接云生态系统中的服务，并管理重复的管理任务。与人类身份一样，NHI也需要身份验证才能访问关键资源。这些身份通常通过诸如API密钥、证书和开放授权OAuth令牌等秘密进行保护。

迅猛兔加速器入口

SC Media Perspectives专栏由 SC Media网络安全领域的社区专家共同撰写。 查看更多视角文章

机器身份的管理非常复杂，如果不加以精确处理，可能会在企业中引入严重的安全漏洞。其独特的挑战包括：

挑战描述广泛的秘密开发秘密常常由缺乏安全培训的DevOps团队或业务用户生成，并以明文形式储存在脚本或配置文件中，容易被多个用户访问。秘密生命周期管理未能自动化和强制管理秘密的整个生命周期，可能导致机器身份的监控不力。权限提升机器经常需要提升的权限使其成为潜在的攻击目标，攻击者可能利用这些身份在网络中隐秘活动。

最佳实践管理NHI

对机器身份管理的忽视代表了身份安全中的一个真实且风险重重的盲点。CISO和身份访问管理负责人应采取以下最佳实践，以减少安全漏洞，降低风险：

优先发现并移除闲置的NHI： 确保每个机器身份有明确的目的和定义的拥有者。建立治理机制以便跟踪身份活动。管理特权访问： 机器身份应根据需求临时提升权限，非活动时应立即撤回。一旦身份的访问权限发生变更，应确保其符合内部政策。遵循最佳的秘密管理实践： 采用秘密保管库，定期轮换秘密以减少暴露的风险，降低静态凭证被利用的可能性。尽可能采用无密钥身份验证的方法： 如同人类身份的无密码验证，云平台如AWS、Azure和Google Cloud PlatformGCP支持这一方法，通过为新启动的虚拟机自动分配预配置角色，实现安全访问。应用自动化，建立治理制度： 自动化可以减少人为错误，确保秘密轮换及安全存储的最佳实践得到一致执行。

NHI作为一种相对较新且日益被利用的攻击面，安全风险将持续增加。企业必须消除这一盲点，使机器身份管理成为其身份安全战略的重要组成部分。通过建立围绕秘密管理和NHI治理的最佳实践，组织能够降低网络攻击风险，确立身份安全作为一种基础商业促进因素。

Ehud Amiri，Saviynt产品管理高级副总裁

如需了解更多信息，欢迎查阅SC Media Perspectives的相关内容。