机器身份管理的七个最佳实践

机器身份与人类身份同样重要，尤其是在零信任环境中。

机器身份是企业攻击面中一个规模庞大且快速增长的部分。机器（服务器、设备和服务）的数量正在迅速增长，而企业对机器身份的管理和保护往往严重滞后。

针对机器身份管理的薄弱环节，网络犯罪分子和黑客们已经展开迅速行动。根据网络安全供应商Venafi去年初发布的一份报告，涉及机器身份滥用的网络攻击在过去五年中暴增了1600%。

Gartner在去年秋天发布的一份报告中将机器身份列为2022年最重要的网络安全趋势之一。根据Gartner的另一份报告，到2020年，50%的云安全故障是由于对身份、访问和权限管理不善造成的。到2023年，这一比例将飙升到75%。

Gartner安全战略和威胁情报副总裁Kevin Bocek指出：

“我们每年在人类身份和访问管理上花费数十亿美元，从生物识别到特权访问管理，但用于保护机器身份的预算和时间却少得可怜。然而，就像人类身份一样，在不法分子手中，机器身份同样会被滥用。”

Saviynt产品管理总监克里斯·欧文(Chris Owen)表示，企业经常过于信任网络上的机器。“这意味着他们可以连接到其他网络资源，而无需人工干预或传统形式的身份验证，”他说，“因此，如果一台机器受到威胁，攻击者可以通过机器到机器的路径在网络中移动。”

幸运的是，企业已经开始意识到这个问题。根据Ponemon Institute和Keyfactor在今年3月份发布的一份报告，61%的IT专业人士表示，机器身份被盗或滥用是一个严重的问题——大大高于去年的34%。

为了帮助企业应对机器身份风险的挑战，以下我们编辑整理了机器身份管理的七大最佳实践：

01、了解您的证书、密钥和数字资产

根据Ponemon的报告，IT组织平均拥有超过26.7万个内部证书，比去年增长了16%。证书和密钥与运营基础设施、物联网、本地IT基础设施、云基础设施和容器化基础设施相关联。其中一些证书和密钥是旧的，有些是硬编码的，有些则与其他身份交织在一起。

根据去年秋天Vanson Bourne对IT安全决策者进行的一项调查，61%的组织对其数字资产的证书和密钥缺乏可见度，其中96%的受访者表示缺乏可见度已经产生不良后果。这些不良后果是：55%的受访者报告了网络安全漏洞；35%的受访者报告系统中断；33%的受访者报告财务损失。

Hitachi ID Systems的工程副总裁Ian Reay指出，他见过一些公司因为不了解机器身份的状况而导致严重问题。例如，美国一家大型企业对其营销打印机进行安全维护，更改密码，但却导致该企业的全球生产系统宕机。运维和安全人员紧张排查后才发现问题的根源是20年前一位管理员曾将打印机帐户用于其他目的。Reay说：“它变得纠缠不清，这些账户既用于打印机，也用于生产环境。这很难提前看到和预测。”

更糟糕的是，技术人员发现无法将密码改回旧密码，因为旧密码不再符合其Active Directory密码策略。这时需要高级管理人员介入，才能设置允许密码策略例外。

Reay指出，企业往往有多个列表，这些列表是不完整的、维护不善且充满错误的。“我们发现我们的客户，即使是安全管理方面领先的客户，大多数都无法解决这个问题。这太令人生畏了。”

02、经常更换密钥和证书

网络安全供应商Corsha联合创始人兼首席技术官Anusha Iyer认为，静态密钥和证书很容易被盗和重用。“事实上，撞库攻击在很大程度上已经从人类用户名和密码转移到API凭据，或者基本上是当今机器身份的代理。”她说。

随着API生态系统的巨量增长，这个问题变得更具挑战性。Capgemini Americas网络安全卓越中心的高级解决方案经理Prasanna Parthasarathy认为机器身份管理不当可能导致安全漏洞。他说，在最坏的情况下，攻击者可以一次性彻底清除IT环境中的整个区域。

“攻击者可以使用带有真实证书的已知API调用来获得对流程控制、交易或关键基础设施的访问权限——这会带来毁灭性的后果。”

Parthasarathy指出，为了防止这种情况，公司应该对源机器、云连接、应用程序服务器、手持设备和API交互进行严格授权。最重要的是，受信任的证书不应该是静态的，他说：“它们应该经常更改或更新。它们不应该被硬编码到API调用中。”

Parthasarathy承认，每次交易都更改证书可能很困难，但频繁更新证书，确实可以让企业拥有一个更安全的环境。此外，公司必须制定流程，以便在设备或流程退役时立即撤销证书和密钥。Gartner建议公司从所有计算基础设施中移除隐含信任，取而代之的是实时、自适应信任。

03、采用机器身份管理解决方案

Gartner将机器身份管理归入身份和访问管理(IAM)技术的范畴。根据该公司最新的炒作周期，机器身份管理现在接近被夸大的预期的顶峰，距离“生产力平台”还有两到五年的时间。

根据Vanson Bourne的调查，95%的组织正在实施或计划实施自动化机器身份管理工作流、机器身份管理即服务或在混合部署模型上管理证书生命周期的能力。然而，只有32%的企业完全实施了现代机器身份管理。根据调查，53%的组织仍然使用电子表格作为其机器身份管理的核心工具，93%的组织在流程中的某个地方使用了电子表格。

Keyfactor的CSO Chris Hickman指出，一个关键问题是，在大多数组织中，机器身份的所有权是隐含的，而不是明确分配的。“因此，许多组织最终采用了一种孤立的机器身份管理方法，更糟糕的是，其中许多身份没有人管理。”他建议公司建立跨职能核心小组，专门负责管理所有机器身份。

04、拥抱自动化

根据Vanson Bourne的调查，在机器身份管理中引入自动化工作流程的公司已经尝到了甜头。在实施自动化的企业中，50%能够跟踪所有证书和密钥，而没有实施自动化的只有28%。只有33%的企业已完全实施自动化工作流程，其中48%仍在进行中。另有15%的企业计划实施自动化，只有4%的企业在该领域没有任何自动化计划。

IT安全决策者表示，他们期望自动化能够降低成本、减少管理密钥和证书所花费的时间，并简化和简化工作流程。“自动化是必不可少的，”Venafi的Bocek说道：“如果没有自动化管理，数字化转型计划就会停滞不前。”他补充说，自动化还将减少人为错误的可能性，从而为安全漏洞管理开辟新道路。

05、将云纳入机器身份管理计划

根据Vanson Bourne的调查，随着公司将基础设施从本地迁移到云端，92%的公司不得不重新考虑和更改机器身份管理解决方案。76%的受访企业表示他们现有的解决方案不能完全支持云或混合部署。

Gartner分析师Laurence Goasduff在最近的一份报告中指出，机器身份管理的“单一管理平台”方法在多云环境中还不实用。他说，公司可以实施一个单一的总体框架，集中一些功能，但为本地工具留出空间。

根据Vanson Bourne的调查，不到一半的受访企业计划拥有一个涵盖所有云部署的单一机器身份管理解决方案。相反，37%的企业计划为每个云建立一个单独的机器身份管理系统，并有一个涵盖所有系统的中央策略，而22%的企业计划在没有中央策略的情况下拥有单独的系统。

06、将机器人纳入机器身份管理计划

在全球新冠病毒大流行中，企业纷纷加快了自动化战略。根据Forrester的报告，到2025年，全球机器人流程自动化软件市场将达到65亿美元，远高于2021年的24亿美元。Goasduff在Gartner的报告中指出，这些软件机器人的身份也需要管理。“首先需要定义将RPA工具集成到身份结构中的最佳实践和指导原则，”他说：“并将RPA的软件机器人视为需要拥有机器身份的另一种工作负载。”

07、将机器纳入零信任计划

零信任在当今企业即便不是最高优先级的，也是最高安全优先级的。根据信息安全媒体集团今年2月发布的一项调查，100%的受访企业表示零信任对于降低安全风险很重要。

零信任容易被人忽视的一点是，它的“永不相信、始终验证”的原则不仅适用于人类用户，同样适用于流程和设备。Kudelski Security解决方案架构负责人Bo Lane指出：“管理设备身份在较新的零信任安全模型中尤为重要。当企业设备在网络上没有被赋予任何特殊的信任状态时，它必须有一种方法来识别或授权其他设备，进行服务或数据的交互。”

根据今年早些时候发布的Fortinet的调查报告，84%的企业已经制定或正在制定零信任战略。然而，该调查显示，对于59%的企业来说，拥有持续验证设备的能力是一项艰巨的挑战。