2024網(wǎng)絡(luò)安全與機(jī)器身份

網(wǎng)絡(luò)安全與機(jī)器身份PAGEPAGE12摘要：身份管理是信息安全的一個重要方面，因為它能確保只有經(jīng)過授權(quán)的個人和實體才能訪問敏感的數(shù)據(jù)和資源。隨著技術(shù)在當(dāng)今組織中的應(yīng)用日益廣泛，身份管理已擴(kuò)展到包括（但不限于）機(jī)器身份（人類以外的任何其他身份），如設(shè)備身份、數(shù)字身份和工作負(fù)載身份。本白皮書旨在定義機(jī)器身份，探討其歷史和意義，并提供機(jī)器身份管理的最佳實踐，以及與其相關(guān)風(fēng)險的治理。本白皮書的目標(biāo)受眾包括信息安全專業(yè)人士、風(fēng)險辦公室/責(zé)任人、IT/網(wǎng)絡(luò)安全聯(lián)絡(luò)員、技術(shù)/站點可靠性工程師（SRE）DevOps團(tuán)隊、業(yè)務(wù)流程責(zé)任人、應(yīng)用程序開發(fā)人員以及政府和監(jiān)管機(jī)構(gòu)。介紹身份管理可確保正確的個體（如人或機(jī)器）在正確的時間、正確的時長和以正確的理由訪問正確的資源。這對于維護(hù)組織資源的安全至關(guān)重要。隨著新技術(shù)的出現(xiàn)，身份管理已發(fā)展到不僅包括人類身份，還包括機(jī)器身份，如設(shè)備、數(shù)字工作負(fù)載和RPA機(jī)器人。本文件旨在提供對機(jī)器身份及其使用影響的理解。機(jī)器身份的定義通常，身份是由一個或多個屬性組成的集合，可在特定上下文環(huán)境下唯一描述一個主體，如：個人、組織、設(shè)備、硬件、網(wǎng)絡(luò)、軟件、工作負(fù)載或服務(wù)（來源：NISTSP800-63）。通過驗證身份的憑證（如口令、密鑰、證書）以區(qū)別于不同的身份身份屬性可包括姓名、電子郵件地址、IP地址或其他識別特征。人類身份與個人相關(guān)聯(lián)，而機(jī)器身份則與設(shè)備、數(shù)字工作負(fù)載和其他類型的實體相關(guān)聯(lián)。設(shè)備身份與筆記本電腦、智能手機(jī)和服務(wù)器等物理設(shè)備以及物聯(lián)網(wǎng)等運營技術(shù)（OT）設(shè)備相關(guān)聯(lián)。這些身份可用于對訪問設(shè)備的資源和應(yīng)用程序的行為進(jìn)行驗證和授權(quán)。數(shù)字身份與工作負(fù)載、服務(wù)、應(yīng)用程序、虛擬機(jī)、容器、云、RPA機(jī)器人和API等數(shù)字實體相關(guān)聯(lián)。通過核實這些身份憑證或證書，可以對訪問內(nèi)部網(wǎng)絡(luò)或云上的資源和應(yīng)用程序的行為進(jìn)行驗證和授權(quán)。機(jī)器身份是數(shù)字身份，可以使用對稱或非對稱加密密鑰、令牌或通行密鑰（譯者注：FIDO聯(lián)盟制定的一種旨在消除口令的技術(shù)）。非對稱密鑰加密又稱公鑰加密，使用一組公私密鑰對。公鑰從來都不是秘密，用于鎖定或加密有效載荷，而私鑰用于解鎖或解密密文。私鑰必須保持安全，通常存儲在硬件或軟件的密鑰庫或密鑰存儲區(qū)中。絕大多數(shù)機(jī)器都使用類似數(shù)WEB服務(wù)器證書、客戶端證書、SSH主機(jī)密鑰和SSH主機(jī)證書。對稱密鑰加密只使用一個密鑰，而不是一個密鑰對。機(jī)器身份使用對稱密鑰的例子包括API密鑰、令牌和共享秘密。歷史背景機(jī)器身份的概念起源于早期的計算機(jī)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的復(fù)雜性和規(guī)模不斷增大，確保資源和應(yīng)用程序的訪問安全變得越來越重要。確保訪問安全的最早方法之一是為設(shè)備分配唯一身份，如IPMAC地址，并根據(jù)這些網(wǎng)絡(luò)身份限制對設(shè)備的訪問。隨著技術(shù)的發(fā)展，工作機(jī)器身份已擴(kuò)展到包括數(shù)字工作負(fù)載、服務(wù)賬戶、機(jī)器人、API等。此外，物聯(lián)網(wǎng)和智能設(shè)備在家庭和企業(yè)中的大量使用也給機(jī)器身份增加了其他復(fù)雜因素。隨著聯(lián)網(wǎng)設(shè)備和機(jī)器的與人類身份的差異機(jī)器身份是由既不能更改口令也不支持多因素身份驗證的實體來區(qū)分。通常情況下，機(jī)器身份使用不會過期的長口令。為了確保憑證的安全，許多組織都會對口令實施定期輪換或更改的策略。但是，如果機(jī)器身份被嵌入到應(yīng)用程序中或被工具使用，這就會帶來問題，因為口令的輪換會破壞應(yīng)用程序或工具可能具有的依賴性。在云環(huán)境中使用托管身份/角色（AWS）是解決這些情況的一種方法。在內(nèi)部環(huán)境中，解決這個問題可以使用特權(quán)訪問管理工具（如Thycotic、CyberArk），這些工具可以發(fā)現(xiàn)機(jī)器身份及其依賴關(guān)系。保護(hù)機(jī)器身份：保護(hù)機(jī)器身份對于維護(hù)組織的信息和資產(chǎn)的安全性和完整性至關(guān)重要。與人類身份不同，機(jī)器身份在軟件中無法嵌入生物特征或其他形式的二次驗證。機(jī)器身份可以分配給任何設(shè)備，甚至用于模擬一個設(shè)備。因此，確保人類不能直接處理或訪問這些身份的私有信息至關(guān)重要。人類應(yīng)該專注于創(chuàng)建策略和治理方案，使用自動化方案負(fù)責(zé)這些身份的驗證、發(fā)行和管理。機(jī)器身份通常使用非對稱密鑰對進(jìn)行認(rèn)證。不論何種原因，人類都不應(yīng)該以明文方式訪問私鑰。機(jī)器身份可能會被惡意用戶攻擊，攻擊者可以隱藏在被控制的機(jī)器身份后面。機(jī)器身份通常是分配的名稱或完整域名（FQDN）。機(jī)器日志和事件日志將記錄機(jī)器的身份名稱作為執(zhí)行惡意活動的行為者。一個常見的例子是，在ActiveDirectory環(huán)境中服務(wù)賬戶啟用了“交互式登錄”從而導(dǎo)致服務(wù)賬戶被（攻擊者）利用。任何有權(quán)訪問其口令的用戶都可以作為（仿冒）服務(wù)賬戶登錄?；顒尤罩居涗浄?wù)賬戶的名稱，而不是惡意行為者。因此，除非有足夠強(qiáng)的業(yè)務(wù)要求，否則最好禁用服務(wù)賬戶上的“交互式登錄”。我們無法保護(hù)我們不知道的資產(chǎn)，因此發(fā)現(xiàn)機(jī)器身份并為他們它們創(chuàng)建準(zhǔn)確的清單是保護(hù)它們的基本第一步。包括服務(wù)賬戶、托管身份和API?？尚鸥≧oT）是組織中的信任基礎(chǔ)。對于任何組織來說，利用安全且高度可靠的硬件和軟件保護(hù)機(jī)器身份的安全至關(guān)重要。理想情況下，機(jī)器身份的私鑰存儲在硬件可信根中，但這會增加管理和維護(hù)身份方面的成本和復(fù)雜度。由于軟件密鑰庫的靈活性，被廣泛用于保護(hù)私鑰。每個組織都應(yīng)該利用軟件密鑰庫保護(hù)機(jī)器身份或私鑰，并將整個過程完全自動化，以便消除人類訪問或管理軟件密鑰庫的可能性。機(jī)器身份的挑戰(zhàn)由于機(jī)器身份的特性及其管理方式，它們給組織帶來了若干挑戰(zhàn)。其中包括：可發(fā)現(xiàn)性和機(jī)器身份后門：并非所有組織都遵循一致的方法來發(fā)現(xiàn)和編制機(jī)器身份。與人類身份不同，機(jī)器身份可能在組織內(nèi)的任何地方出現(xiàn)。不安全的編碼可能引入機(jī)器身份后門，例如無論是有意或無意出現(xiàn)在應(yīng)用程序/服務(wù)/腳本中的硬編碼憑據(jù)。注意，此類機(jī)器身份與設(shè)備管理員賬戶的默認(rèn)身份不同。那些（指設(shè)備管理員賬戶身份容易管理，但后門身份難以發(fā)現(xiàn)，可能需要專用工具。遺留機(jī)器身份：因為可能缺乏文檔，使用易受攻擊的密碼學(xué)算法或過時的安全控制，或擁有不確定的所有權(quán)，傳統(tǒng)（遺留）機(jī)器身份可能給組織帶來重大挑戰(zhàn)。傳統(tǒng)（遺留）身份的例子包括但不限于打印機(jī)、閉路電視、投影儀、無線路由器等。處理傳統(tǒng)（遺留）身份時，必須采取基于風(fēng)險的方法，并應(yīng)根據(jù)每個身份的風(fēng)險水平考慮其優(yōu)先級。這可能涉及停用未使用的身份、輪換密鑰或更新安全控制。此外，當(dāng)已知的傳統(tǒng)（遺留）身份正在使用時，組織可以采取一些補(bǔ)救措施，以防止憑據(jù)被竊取。一個補(bǔ)救措施的例子是確保具有這種身份的設(shè)備位于獨立的網(wǎng)絡(luò)中，與處理敏感數(shù)據(jù)的網(wǎng)絡(luò)之間進(jìn)行物理隔離或邏輯分段。另一個例子是確保這類設(shè)備位于內(nèi)部分段的網(wǎng)絡(luò)中，而不在面向公眾的網(wǎng)絡(luò)上。機(jī)器身份的生命周期管理：管理機(jī)器身份的一個重要方面是確保它們在整個生命周期中保持最新。這些工作包括了啟用新的身份、撤銷或停用舊身份、以及確保現(xiàn)有身份仍然活躍并正在使用。為每個機(jī)器身份分配一個明確的標(biāo)識符，并記錄其依賴項，將有助于實現(xiàn)訪問配置和策略執(zhí)行。為管理機(jī)器身份的生命周期定義一個明確的流程有助于確保身份被正確創(chuàng)建并使用，并在不再需要時撤銷或停用。永久所有權(quán)：管理機(jī)器身份的另一個挑戰(zhàn)是處理永久所有權(quán)的問題。人類身份與特定個體關(guān)聯(lián)，但機(jī)器身份并不一樣。隨著時間的推移，機(jī)器身份可能被多個個體、設(shè)備或?qū)嶓w擁有。例如，一個RPA機(jī)器人可能歸負(fù)責(zé)其開發(fā)和運營的個人或組織所有，但它也可能被多個組織或團(tuán)隊使用。恰當(dāng)?shù)墓芾矸绞綉?yīng)該是能確保管理所有權(quán)和重用機(jī)器身份的過程清晰明確。通過合適的控制措施確保這些機(jī)器身份的所有者不會有意或無意濫用他們的特權(quán)，并通過一系列有害的操作進(jìn)行欺詐。這一點很重要。通常這些操作不會被注意到，并且在事后很難進(jìn)行關(guān)聯(lián)分析，所以最好通過事前主動控制進(jìn)行預(yù)防。將憑證存放于在安全存儲中并對憑證進(jìn)行定期輪換等控制措施可以防止欺詐。機(jī)器身份的治理：確保機(jī)器身份得到有效治理對于維護(hù)組織的信息和資產(chǎn)安全至關(guān)重要。這包括確保身份制定和實施全生命周期的身份管理策略有助于確保身份得到有效管理，并將相關(guān)風(fēng)險降至最低。機(jī)器身份的集中管理：由于組織的各個部門對不當(dāng)管理帶來的影響認(rèn)識不足，經(jīng)常對機(jī)器身份處理不當(dāng)?？鐖F(tuán)隊協(xié)作（如應(yīng)用程序開發(fā)、IT、安全、IAM、DevOps、身份治理和云基礎(chǔ)設(shè)施）是實現(xiàn)這些身份集中管理的關(guān)鍵。集中管理不僅增強(qiáng)了可見性和控制力，還有助于應(yīng)用和執(zhí)行標(biāo)準(zhǔn)化的管控和合規(guī)活動。此外，集中管理有還助于事件調(diào)查、漏洞識別和修補(bǔ)。最佳實踐：對于機(jī)器身份（非人員身份）的有效管理需要技術(shù)和組織控制的結(jié)合。下面給出了管理機(jī)器身份的一些最佳實踐。生命周期管理實施規(guī)范流程管理機(jī)器身份生命周期，包括對密鑰和證書的配置、撤銷以及輪轉(zhuǎn)。確立機(jī)器身份的所有權(quán)和責(zé)任，包括為每個機(jī)器身份指定負(fù)責(zé)人并確保此信息有據(jù)可查。定義身份和角色授予之間的明確關(guān)系，并確保這種關(guān)系的可見性。將“加密模塊化設(shè)計”作為應(yīng)用程序開發(fā)中的最佳設(shè)計實踐，以便可以更改或重新輪轉(zhuǎn)應(yīng)用程序（身份），而無需重新編碼整個應(yīng)用程序。(JIT)訪問原則，以類似于人類身份的方式對待機(jī)器身份，確保機(jī)器身份僅在有限時間內(nèi)擁有必要的訪問權(quán)限，從而有效限制特權(quán)和利用的范圍。在云環(huán)境中使用托管身份(Azure)/角色(AWS)，以降低身份泄露的可能性。這是因為憑證由云提供商管理。減少跨機(jī)器身份的手工合規(guī)任務(wù)。訪問請求、發(fā)布、續(xù)訂和撤銷的任務(wù)應(yīng)由應(yīng)用自動化完成。實施集中式系統(tǒng)來管理機(jī)器身份，以提供對組織擁有的所有機(jī)器身份的完整可見性。將設(shè)備的成熟度和工作負(fù)載視為不同的因素，因為改進(jìn)設(shè)備的基礎(chǔ)設(shè)施可能需要不同于上線（應(yīng)用）工具所需的方法。建立持續(xù)監(jiān)控（每月、每季度等），審查設(shè)備身份或應(yīng)用身份的訪問情況，以確定是否有任何身份不再活躍。作為正常維護(hù)工作的一部分，將不再活躍的機(jī)器身份或應(yīng)用身份停用。通過對比已經(jīng)授予的權(quán)限與正在使用的權(quán)限，識別過度授權(quán)的機(jī)器身份并調(diào)整其范圍。明確應(yīng)當(dāng)如何使用（或避免使用）技術(shù)堆棧中的工具以及在何種情況下部署它們，為開發(fā)人員、基礎(chǔ)設(shè)施、DevOps和安全團(tuán)隊提供量身定制的指導(dǎo)。實施安全密鑰編排機(jī)制，基于信任的繼承，自動化的確認(rèn)、驗證和發(fā)布身份，從而防止人類訪問機(jī)器身份。存儲和認(rèn)證將數(shù)字證書、SSH密鑰和密文集中并存儲在安全位置，最好是在硬件安全模塊(HSM)或密鑰保管庫中。此外，對這些設(shè)備的訪問應(yīng)僅限于具有強(qiáng)口令的特權(quán)RBAC訪問控制機(jī)制。持續(xù)控制與監(jiān)控確保持續(xù)監(jiān)控和審核機(jī)器身份以發(fā)現(xiàn)可疑活動。如果可能，使用異常檢測以發(fā)現(xiàn)異常機(jī)器身份活動。定期檢測被滲透的機(jī)器身份，并將其禁用或停用。將機(jī)器身份管理納入整體安全和風(fēng)險管理流程，并在無法降低風(fēng)險的情況下實施補(bǔ)救措施。識別并記錄與身份相關(guān)的設(shè)備中斷，并創(chuàng)建應(yīng)急計劃以防止進(jìn)一步發(fā)生。確保遵守相關(guān)的政府和行業(yè)法規(guī)。強(qiáng)制執(zhí)行職責(zé)分離，不僅針對機(jī)器身份，還包括身份和所有者的組合?？刂茩C(jī)器身份的人員不應(yīng)該具有進(jìn)行有害的組合操作的能力，例如，一部分惡意操作以機(jī)器身份執(zhí)行，另一部分則以自己的身份執(zhí)行。確保機(jī)器身份不擁有能夠更改角色權(quán)限、創(chuàng)建其他用戶等的管理員級交互式權(quán)限。在沒有業(yè)務(wù)正當(dāng)性的情況下，不應(yīng)將人員權(quán)限分