《網(wǎng)絡安全和IAM中的機器身份》

?2023云安全聯(lián)盟大中華區(qū)版權所有?2023云安全聯(lián)盟大中華區(qū)版權所有/researc@2023云安全聯(lián)盟大中華區(qū)－保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)（）。須遵守以下a）本文只可作個人、信息獲取、非商業(yè)用途；（b）本文內容不得篡改；（c）本文不得轉發(fā)；（d）該商標、版權或其他聲明不得刪除。在遵循中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯(lián)盟大中華區(qū)。?2023云安全聯(lián)盟大中華區(qū)版權所有?2023云安全聯(lián)盟大中華區(qū)版權所有?2023云安全聯(lián)盟大中華區(qū)版權所有致謝）：在此感謝以上專家及單位。如譯文有不妥當之處，敬請讀者聯(lián)系CS?2023云安全聯(lián)盟大中華區(qū)版權所有正！聯(lián)系郵箱research@；國際云安?2023云安全聯(lián)盟大中華區(qū)版權所有主要作者：RaviErukullaRameshGuptaShrutiKulkarniAnsumanMishraAlonNachmany貢獻者：KapilBarejaFayeDixonJonathanFlackPaulMezzeraMichaelRaggoVenkatRaghavanHeinrichSmitDavidStrommer審校者：IainBeveridgeShraddhaPatilGauravSinghGuillaumeCesbronMuraliPalanisamySenthilkumarChandrasekaranChandrasekaranRajagopalanRajatDubeyMichaelRozaCSA分析師：RyanGiffordCSA全球員工：ClaireLehnert編輯：LarryHughes?2023云安全聯(lián)盟大中華區(qū)版權所有序言隨著信息技術的迅猛發(fā)展和企業(yè)數(shù)字化轉型的推動，身份和訪問管理（IAM）以及機器身份管理成為了組織安全戰(zhàn)略中不可或缺的一部分。本文提供機器身份基本概念、安全保護、挑戰(zhàn)和最佳實踐。份的定義和歷史背景，對比了機器身份與人類身份的差異，分析了面臨的挑戰(zhàn)，最后，討論了機器身份管理的最佳實踐，包括生命周期管理、身份認證和持本文匯集了專業(yè)人士、企業(yè)領袖和安全專家的觀點，為您提供了全面的信息和見解，我們希望這份白皮書可以為您提供有關IAM和機器身份管理的全面了解，幫助您加強?2023云安全聯(lián)盟大中華區(qū)版權所有摘要：身份管理是信息安全的一個重要方面，因為它能問敏感的數(shù)據(jù)和資源。隨著技術在當今組織中的應用日益廣泛，），本白皮書旨在定義機器身份，探討其歷史和意義，并提供機器身其相關風險的治理。本白皮書的目標受眾包括信息安全專業(yè)人士、風險辦公室/責任人、IT/網(wǎng)絡安全聯(lián)絡員、技術/站點可靠性工程師（SRE）DevOps團隊、業(yè)務流程責任人、應用程身份管理可確保正確的個體（如人或機器）在正訪問正確的資源。這對于維護組織資源的安全至關重要。隨著新技術的展到不僅包括人類身份，還包括機器身份，如設備、數(shù)字工作負載和RPA機器人。本文件2.機器身份的定義通常，身份是由一個或多個屬性組成的集合，可在特定上下文環(huán)如：個人、組織、設備、硬件、網(wǎng)絡、軟件、工作負載或服務（來身份屬性可包括姓名、電子郵件地址、IP地址或設備身份與筆記本電腦、智能手機和服務器等物理設備以及物聯(lián)網(wǎng)等運營技術（OT）設備相關聯(lián)。這些身份可用于對訪問設備的資源和?2023云安全聯(lián)盟大中華區(qū)版權所有數(shù)字身份與工作負載、服務、應用程序、虛擬機、容器、云、RPA機器人和API等數(shù)字實體相關聯(lián)。通過核實這些身份憑證或證書，可以對機器身份是數(shù)字身份，可以使用對稱或非對稱加密密鑰、令牌或通行密鑰（譯者注：用于鎖定或加密有效載荷，而私鑰用于解鎖或解密密文。私鑰必須保持安全，通常存儲在硬件或軟件的密鑰庫或密鑰存儲區(qū)中。絕大多數(shù)機器都使用類似數(shù)字證書的非對稱密鑰來識別自身和建立信任。例如WEB服務器證書、客戶端證對稱密鑰加密只使用一個密鑰，而不是一個密鑰對。機器身份使用對稱密鑰的3.歷史背景身份，如IP或MAC地址，并根據(jù)這些網(wǎng)絡身份限制對設備的訪問。隨著技術的機器身份已擴展到包括數(shù)字工作負載、服務賬戶、RPA機器人、API等。此外，物聯(lián)網(wǎng)和智能設備在家庭和企業(yè)中的大量使用也給機器身份增加了其他復雜因素4.與人類身份的差異機器身份是由既不能更改口令也不支持多因素身份驗證的實體來區(qū)分。通常情況下，機?2023云安全聯(lián)盟大中華區(qū)版權所有器身份使用不會過期的長口令。為了確保憑證的安全，許多組織都更改的策略。但是，如果機器身份被嵌入到應用程序中或被工具使用，這就會帶來問題，因/角色（AWS）是解決這些情況的一種方法。在內部環(huán)境中，解決這個問題可以使用特權訪），5.保護機器身份：保護機器身份對于維護組織的信息和資產的安全性和完整性至機器身份可以分配給任何設備，甚至用于模擬一個設備。因此，或訪問這些身份的私有信息至關重要。人類應該專注于創(chuàng)建機器身份通常使用非對稱密鑰對進行認證。不論何種原因，人類機器身份可能會被惡意用戶攻擊，攻擊者可以隱藏在被控制的機通常是分配的名稱或完整域名（FQDN）。機器日志和事件日志將記錄機器的身份名稱作為執(zhí)行惡意活動的行為者。一個常見的例子是，在ActiveDirectory環(huán)境中服務賬戶啟用了為（仿冒）服務賬戶登錄。活動日志記錄服務賬戶的名稱，而不是惡意行為者。因此，除非有足夠強的業(yè)務要求，否則最好禁用服務賬我們無法保護我們不知道的資產，因此發(fā)現(xiàn)機器身份并為可信根（RoT）是組織中的信任基礎。對于任何組織來說，利用安全且高度可靠的硬件和軟件保護機器身份的安全至關重要。理想情況下，機器身份的但這會增加管理和維護身份方面的成本和復雜度。由于軟件密鑰庫的靈?2023云安全聯(lián)盟大中華區(qū)版權所有護私鑰。每個組織都應該利用軟件密鑰庫保護機器身份或私鑰，6.機器身份的挑戰(zhàn)并非所有組織都遵循一致的方法來發(fā)現(xiàn)和編制機能在組織內的任何地方出現(xiàn)。不安全的編碼可能引入出現(xiàn)在應用程序/服務/腳本中的硬編碼憑據(jù)。注意，此類機器身份與設備管理員賬戶的默認身份不同。那些（指設備管理員賬戶身份容易管理，有權，傳統(tǒng)（遺留）機器身份可能給組織帶來重大挑戰(zhàn)。傳統(tǒng)（限于打印機、閉路電視、投影儀、無線路由器等。處理傳統(tǒng)（遺風險的方法，并應根據(jù)每個身份的風險水平考慮其優(yōu)先級。這可此外，當已知的傳統(tǒng)（遺留）身份正在使用時，組織可以采一個補救措施的例子是確保具有這種身份的設備位于機器身份的生命周期管理：?2023云安全聯(lián)盟大中華區(qū)版權所有管理機器身份的一個重要方面是確保它們在整個啟用新的身份、撤銷或停用舊身份、以及確保現(xiàn)有身份份分配一個明確的標識符，并記錄其依賴項，將有助于實為管理機器身份的生命周期定義一個明確的流程有助于確保身份被正確創(chuàng)建并使用，并管理機器身份的另一個挑戰(zhàn)是處理永久所有權的器身份并不一樣。隨著時間的推移，機器身份可能被多個個體、設個RPA機器人可能歸負責其開發(fā)和運營的個人或組織所有，但它也可能被多個組織或團隊使用。恰當?shù)墓芾矸绞綉撌悄艽_保管理所有權和重用通過合適的控制措施確保這些機器身份的所有者不會有意或無過一系列有害的操作進行欺詐。這一點很重要。通常這些操作不會被難進行關聯(lián)分析，所以最好通過事前主動控制進行預防。將憑證存放制定和實施全生命周期的身份管理策略有助于確保身份得到有效管隊協(xié)作（如應用程序開發(fā)、IT、安全、IAM、DevOps、身份治理和云基礎設施）是實現(xiàn)這些身份集中管理的關鍵。集中管理不僅增強了可見性和策略和流程。這能確保安全實踐的統(tǒng)一性，提高流程的效率和有?2023云安全聯(lián)盟大中華區(qū)版權所有7.最佳實踐：對于機器身份（非人員身份）的有效管理需要技術和組織控制的），份，確保機器身份僅在有限時間內擁有必要的訪問權限，從而有效限制特權和?2023云安全聯(lián)盟大中華區(qū)版權所有），們，為開發(fā)人員、基礎設施、DevOps.將數(shù)字證書、SSH密鑰和密文集中并存儲在安全位置，最好(HSM)或密鑰保管庫中。此外，對這些設備的訪問應僅限于具有強口令的特權?2023云安全聯(lián)盟大中華區(qū)版權所有器身份的人員不應該具有進行有害的組合操作的能力，例如，一部分惡意操作.通過跟蹤與已知TTP（策略、技術和應用）相關的任務或與權限更改、橫向移動（例如跨賬戶訪問）和敏感基礎架構組件（例如虛擬防火墻）相關的行為