2024網(wǎng)絡(luò)安全與機(jī)器身份

網(wǎng)絡(luò)安全與機(jī)器身份PAGEPAGE12摘要：身份管理是信息安全的一個(gè)重要方面，因?yàn)樗艽_保只有經(jīng)過授權(quán)的個(gè)人和實(shí)體才能訪問敏感的數(shù)據(jù)和資源。隨著技術(shù)在當(dāng)今組織中的應(yīng)用日益廣泛，身份管理已擴(kuò)展到包括（但不限于）機(jī)器身份（人類以外的任何其他身份），如設(shè)備身份、數(shù)字身份和工作負(fù)載身份。本白皮書旨在定義機(jī)器身份，探討其歷史和意義，并提供機(jī)器身份管理的最佳實(shí)踐，以及與其相關(guān)風(fēng)險(xiǎn)的治理。本白皮書的目標(biāo)受眾包括信息安全專業(yè)人士、風(fēng)險(xiǎn)辦公室/責(zé)任人、IT/網(wǎng)絡(luò)安全聯(lián)絡(luò)員、技術(shù)/站點(diǎn)可靠性工程師（SRE）DevOps團(tuán)隊(duì)、業(yè)務(wù)流程責(zé)任人、應(yīng)用程序開發(fā)人員以及政府和監(jiān)管機(jī)構(gòu)。介紹身份管理可確保正確的個(gè)體（如人或機(jī)器）在正確的時(shí)間、正確的時(shí)長(zhǎng)和以正確的理由訪問正確的資源。這對(duì)于維護(hù)組織資源的安全至關(guān)重要。隨著新技術(shù)的出現(xiàn)，身份管理已發(fā)展到不僅包括人類身份，還包括機(jī)器身份，如設(shè)備、數(shù)字工作負(fù)載和RPA機(jī)器人。本文件旨在提供對(duì)機(jī)器身份及其使用影響的理解。機(jī)器身份的定義通常，身份是由一個(gè)或多個(gè)屬性組成的集合，可在特定上下文環(huán)境下唯一描述一個(gè)主體，如：個(gè)人、組織、設(shè)備、硬件、網(wǎng)絡(luò)、軟件、工作負(fù)載或服務(wù)（來源：NISTSP800-63）。通過驗(yàn)證身份的憑證（如口令、密鑰、證書）以區(qū)別于不同的身份身份屬性可包括姓名、電子郵件地址、IP地址或其他識(shí)別特征。人類身份與個(gè)人相關(guān)聯(lián)，而機(jī)器身份則與設(shè)備、數(shù)字工作負(fù)載和其他類型的實(shí)體相關(guān)聯(lián)。設(shè)備身份與筆記本電腦、智能手機(jī)和服務(wù)器等物理設(shè)備以及物聯(lián)網(wǎng)等運(yùn)營(yíng)技術(shù)（OT）設(shè)備相關(guān)聯(lián)。這些身份可用于對(duì)訪問設(shè)備的資源和應(yīng)用程序的行為進(jìn)行驗(yàn)證和授權(quán)。數(shù)字身份與工作負(fù)載、服務(wù)、應(yīng)用程序、虛擬機(jī)、容器、云、RPA機(jī)器人和API等數(shù)字實(shí)體相關(guān)聯(lián)。通過核實(shí)這些身份憑證或證書，可以對(duì)訪問內(nèi)部網(wǎng)絡(luò)或云上的資源和應(yīng)用程序的行為進(jìn)行驗(yàn)證和授權(quán)。機(jī)器身份是數(shù)字身份，可以使用對(duì)稱或非對(duì)稱加密密鑰、令牌或通行密鑰（譯者注：FIDO聯(lián)盟制定的一種旨在消除口令的技術(shù)）。非對(duì)稱密鑰加密又稱公鑰加密，使用一組公私密鑰對(duì)。公鑰從來都不是秘密，用于鎖定或加密有效載荷，而私鑰用于解鎖或解密密文。私鑰必須保持安全，通常存儲(chǔ)在硬件或軟件的密鑰庫(kù)或密鑰存儲(chǔ)區(qū)中。絕大多數(shù)機(jī)器都使用類似數(shù)WEB服務(wù)器證書、客戶端證書、SSH主機(jī)密鑰和SSH主機(jī)證書。對(duì)稱密鑰加密只使用一個(gè)密鑰，而不是一個(gè)密鑰對(duì)。機(jī)器身份使用對(duì)稱密鑰的例子包括API密鑰、令牌和共享秘密。歷史背景機(jī)器身份的概念起源于早期的計(jì)算機(jī)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的復(fù)雜性和規(guī)模不斷增大，確保資源和應(yīng)用程序的訪問安全變得越來越重要。確保訪問安全的最早方法之一是為設(shè)備分配唯一身份，如IPMAC地址，并根據(jù)這些網(wǎng)絡(luò)身份限制對(duì)設(shè)備的訪問。隨著技術(shù)的發(fā)展，工作機(jī)器身份已擴(kuò)展到包括數(shù)字工作負(fù)載、服務(wù)賬戶、機(jī)器人、API等。此外，物聯(lián)網(wǎng)和智能設(shè)備在家庭和企業(yè)中的大量使用也給機(jī)器身份增加了其他復(fù)雜因素。隨著聯(lián)網(wǎng)設(shè)備和機(jī)器的與人類身份的差異機(jī)器身份是由既不能更改口令也不支持多因素身份驗(yàn)證的實(shí)體來區(qū)分。通常情況下，機(jī)器身份使用不會(huì)過期的長(zhǎng)口令。為了確保憑證的安全，許多組織都會(huì)對(duì)口令實(shí)施定期輪換或更改的策略。但是，如果機(jī)器身份被嵌入到應(yīng)用程序中或被工具使用，這就會(huì)帶來問題，因?yàn)榭诹畹妮啌Q會(huì)破壞應(yīng)用程序或工具可能具有的依賴性。在云環(huán)境中使用托管身份/角色（AWS）是解決這些情況的一種方法。在內(nèi)部環(huán)境中，解決這個(gè)問題可以使用特權(quán)訪問管理工具（如Thycotic、CyberArk），這些工具可以發(fā)現(xiàn)機(jī)器身份及其依賴關(guān)系。保護(hù)機(jī)器身份：保護(hù)機(jī)器身份對(duì)于維護(hù)組織的信息和資產(chǎn)的安全性和完整性至關(guān)重要。與人類身份不同，機(jī)器身份在軟件中無法嵌入生物特征或其他形式的二次驗(yàn)證。機(jī)器身份可以分配給任何設(shè)備，甚至用于模擬一個(gè)設(shè)備。因此，確保人類不能直接處理或訪問這些身份的私有信息至關(guān)重要。人類應(yīng)該專注于創(chuàng)建策略和治理方案，使用自動(dòng)化方案負(fù)責(zé)這些身份的驗(yàn)證、發(fā)行和管理。機(jī)器身份通常使用非對(duì)稱密鑰對(duì)進(jìn)行認(rèn)證。不論何種原因，人類都不應(yīng)該以明文方式訪問私鑰。機(jī)器身份可能會(huì)被惡意用戶攻擊，攻擊者可以隱藏在被控制的機(jī)器身份后面。機(jī)器身份通常是分配的名稱或完整域名（FQDN）。機(jī)器日志和事件日志將記錄機(jī)器的身份名稱作為執(zhí)行惡意活動(dòng)的行為者。一個(gè)常見的例子是，在ActiveDirectory環(huán)境中服務(wù)賬戶啟用了“交互式登錄”從而導(dǎo)致服務(wù)賬戶被（攻擊者）利用。任何有權(quán)訪問其口令的用戶都可以作為（仿冒）服務(wù)賬戶登錄?；顒?dòng)日志記錄服務(wù)賬戶的名稱，而不是惡意行為者。因此，除非有足夠強(qiáng)的業(yè)務(wù)要求，否則最好禁用服務(wù)賬戶上的“交互式登錄”。我們無法保護(hù)我們不知道的資產(chǎn)，因此發(fā)現(xiàn)機(jī)器身份并為他們它們創(chuàng)建準(zhǔn)確的清單是保護(hù)它們的基本第一步。包括服務(wù)賬戶、托管身份和API。可信根（RoT）是組織中的信任基礎(chǔ)。對(duì)于任何組織來說，利用安全且高度可靠的硬件和軟件保護(hù)機(jī)器身份的安全至關(guān)重要。理想情況下，機(jī)器身份的私鑰存儲(chǔ)在硬件可信根中，但這會(huì)增加管理和維護(hù)身份方面的成本和復(fù)雜度。由于軟件密鑰庫(kù)的靈活性，被廣泛用于保護(hù)私鑰。每個(gè)組織都應(yīng)該利用軟件密鑰庫(kù)保護(hù)機(jī)器身份或私鑰，并將整個(gè)過程完全自動(dòng)化，以便消除人類訪問或管理軟件密鑰庫(kù)的可能性。機(jī)器身份的挑戰(zhàn)由于機(jī)器身份的特性及其管理方式，它們給組織帶來了若干挑戰(zhàn)。其中包括：可發(fā)現(xiàn)性和機(jī)器身份后門：并非所有組織都遵循一致的方法來發(fā)現(xiàn)和編制機(jī)器身份。與人類身份不同，機(jī)器身份可能在組織內(nèi)的任何地方出現(xiàn)。不安全的編碼可能引入機(jī)器身份后門，例如無論是有意或無意出現(xiàn)在應(yīng)用程序/服務(wù)/腳本中的硬編碼憑據(jù)。注意，此類機(jī)器身份與設(shè)備管理員賬戶的默認(rèn)身份不同。那些（指設(shè)備管理員賬戶身份容易管理，但后門身份難以發(fā)現(xiàn)，可能需要專用工具。遺留機(jī)器身份：因?yàn)榭赡苋狈ξ臋n，使用易受攻擊的密碼學(xué)算法或過時(shí)的安全控制，或擁有不確定的所有權(quán)，傳統(tǒng)（遺留）機(jī)器身份可能給組織帶來重大挑戰(zhàn)。傳統(tǒng)（遺留）身份的例子包括但不限于打印機(jī)、閉路電視、投影儀、無線路由器等。處理傳統(tǒng)（遺留）身份時(shí)，必須采取基于風(fēng)險(xiǎn)的方法，并應(yīng)根據(jù)每個(gè)身份的風(fēng)險(xiǎn)水平考慮其優(yōu)先級(jí)。這可能涉及停用未使用的身份、輪換密鑰或更新安全控制。此外，當(dāng)已知的傳統(tǒng)（遺留）身份正在使用時(shí)，組織可以采取一些補(bǔ)救措施，以防止憑據(jù)被竊取。一個(gè)補(bǔ)救措施的例子是確保具有這種身份的設(shè)備位于獨(dú)立的網(wǎng)絡(luò)中，與處理敏感數(shù)據(jù)的網(wǎng)絡(luò)之間進(jìn)行物理隔離或邏輯分段。另一個(gè)例子是確保這類設(shè)備位于內(nèi)部分段的網(wǎng)絡(luò)中，而不在面向公眾的網(wǎng)絡(luò)上。機(jī)器身份的生命周期管理：管理機(jī)器身份的一個(gè)重要方面是確保它們?cè)谡麄€(gè)生命周期中保持最新。這些工作包括了啟用新的身份、撤銷或停用舊身份、以及確保現(xiàn)有身份仍然活躍并正在使用。為每個(gè)機(jī)器身份分配一個(gè)明確的標(biāo)識(shí)符，并記錄其依賴項(xiàng)，將有助于實(shí)現(xiàn)訪問配置和策略執(zhí)行。為管理機(jī)器身份的生命周期定義一個(gè)明確的流程有助于確保身份被正確創(chuàng)建并使用，并在不再需要時(shí)撤銷或停用。永久所有權(quán)：管理機(jī)器身份的另一個(gè)挑戰(zhàn)是處理永久所有權(quán)的問題。人類身份與特定個(gè)體關(guān)聯(lián)，但機(jī)器身份并不一樣。隨著時(shí)間的推移，機(jī)器身份可能被多個(gè)個(gè)體、設(shè)備或?qū)嶓w擁有。例如，一個(gè)RPA機(jī)器人可能歸負(fù)責(zé)其開發(fā)和運(yùn)營(yíng)的個(gè)人或組織所有，但它也可能被多個(gè)組織或團(tuán)隊(duì)使用。恰當(dāng)?shù)墓芾矸绞綉?yīng)該是能確保管理所有權(quán)和重用機(jī)器身份的過程清晰明確。通過合適的控制措施確保這些機(jī)器身份的所有者不會(huì)有意或無意濫用他們的特權(quán)，并通過一系列有害的操作進(jìn)行欺詐。這一點(diǎn)很重要。通常這些操作不會(huì)被注意到，并且在事后很難進(jìn)行關(guān)聯(lián)分析，所以最好通過事前主動(dòng)控制進(jìn)行預(yù)防。將憑證存放于在安全存儲(chǔ)中并對(duì)憑證進(jìn)行定期輪換等控制措施可以防止欺詐。機(jī)器身份的治理：確保機(jī)器身份得到有效治理對(duì)于維護(hù)組織的信息和資產(chǎn)安全至關(guān)重要。這包括確保身份制定和實(shí)施全生命周期的身份管理策略有助于確保身份得到有效管理，并將相關(guān)風(fēng)險(xiǎn)降至最低。機(jī)器身份的集中管理：由于組織的各個(gè)部門對(duì)不當(dāng)管理帶來的影響認(rèn)識(shí)不足，經(jīng)常對(duì)機(jī)器身份處理不當(dāng)?？鐖F(tuán)隊(duì)協(xié)作（如應(yīng)用程序開發(fā)、IT、安全、IAM、DevOps、身份治理和云基礎(chǔ)設(shè)施）是實(shí)現(xiàn)這些身份集中管理的關(guān)鍵。集中管理不僅增強(qiáng)了可見性和控制力，還有助于應(yīng)用和執(zhí)行標(biāo)準(zhǔn)化的管控和合規(guī)活動(dòng)。此外，集中管理有還助于事件調(diào)查、漏洞識(shí)別和修補(bǔ)。最佳實(shí)踐：對(duì)于機(jī)器身份（非人員身份）的有效管理需要技術(shù)和組織控制的結(jié)合。下面給出了管理機(jī)器身份的一些最佳實(shí)踐。生命周期管理實(shí)施規(guī)范流程管理機(jī)器身份生命周期，包括對(duì)密鑰和證書的配置、撤銷以及輪轉(zhuǎn)。確立機(jī)器身份的所有權(quán)和責(zé)任，包括為每個(gè)機(jī)器身份指定負(fù)責(zé)人并確保此信息有據(jù)可查。定義身份和角色授予之間的明確關(guān)系，并確保這種關(guān)系的可見性。將“加密模塊化設(shè)計(jì)”作為應(yīng)用程序開發(fā)中的最佳設(shè)計(jì)實(shí)踐，以便可以更改或重新輪轉(zhuǎn)應(yīng)用程序（身份），而無需重新編碼整個(gè)應(yīng)用程序。(JIT)訪問原則，以類似于人類身份的方式對(duì)待機(jī)器身份，確保機(jī)器身份僅在有限時(shí)間內(nèi)擁有必要的訪問權(quán)限，從而有效限制特權(quán)和利用的范圍。在云環(huán)境中使用托管身份(Azure)/角色(AWS)，以降低身份泄露的可能性。這是因?yàn)閼{證由云提供商管理。減少跨機(jī)器身份的手工合規(guī)任務(wù)。訪問請(qǐng)求、發(fā)布、續(xù)訂和撤銷的任務(wù)應(yīng)由應(yīng)用自動(dòng)化完成。實(shí)施集中式系統(tǒng)來管理機(jī)器身份，以提供對(duì)組織擁有的所有機(jī)器身份的完整可見性。將設(shè)備的成熟度和工作負(fù)載視為不同的因素，因?yàn)楦倪M(jìn)設(shè)備的基礎(chǔ)設(shè)施可能需要不同于上線（應(yīng)用）工具所需的方法。建立持續(xù)監(jiān)控（每月、每季度等），審查設(shè)備身份或應(yīng)用身份的訪問情況，以確定是否有任何身份不再活躍。作為正常維護(hù)工作的一部分，將不再活躍的機(jī)器身份或應(yīng)用身份停用。通過對(duì)比已經(jīng)授予的權(quán)限與正在使用的權(quán)限，識(shí)別過度授權(quán)的機(jī)器身份并調(diào)整其范圍。明確應(yīng)當(dāng)如何使用（或避免使用）技術(shù)堆棧中的工具以及在何種情況下部署它們，為開發(fā)人員、基礎(chǔ)設(shè)施、DevOps和安全團(tuán)隊(duì)提供量身定制的指導(dǎo)。實(shí)施安全密鑰編排機(jī)制，基于信任的繼承，自動(dòng)化的確認(rèn)、驗(yàn)證和發(fā)布身份，從而防止人類訪問機(jī)器身份。存儲(chǔ)和認(rèn)證將數(shù)字證書、SSH密鑰和密文集中并存儲(chǔ)在安全位置，最好是在硬件安全模塊(HSM)或密鑰保管庫(kù)中。此外，對(duì)這些設(shè)備的訪問應(yīng)僅限于具有強(qiáng)口令的特權(quán)RBAC訪問控制機(jī)制。持續(xù)控制與監(jiān)控確保持續(xù)監(jiān)控和審核機(jī)器身份以發(fā)現(xiàn)可疑活動(dòng)。如果可能，使用異常檢測(cè)以發(fā)現(xiàn)異常機(jī)器身份活動(dòng)。定期檢測(cè)被滲透的機(jī)器身份，并將其禁用或停用。將機(jī)器身份管理納入整體安全和風(fēng)險(xiǎn)管理流程，并在無法降低風(fēng)險(xiǎn)的情況下實(shí)施補(bǔ)救措施。識(shí)別并記錄與身份相關(guān)的設(shè)備中斷，并創(chuàng)建應(yīng)急計(jì)劃以防止進(jìn)一步發(fā)生。確保遵守相關(guān)的政府和行業(yè)法規(guī)。強(qiáng)制執(zhí)行職責(zé)分離，不僅針對(duì)機(jī)器身份，還包括身份和所有者的組合?？刂茩C(jī)器身份的人員不應(yīng)該具有進(jìn)行有害的組合操作的能力，例如，一部分惡意操作以機(jī)器身份執(zhí)行，另一部分則以自己的身份執(zhí)行。確保機(jī)器身份不擁有能夠更改角色權(quán)限、創(chuàng)建其他用戶等的管理員級(jí)交互式權(quán)限。在沒有業(yè)務(wù)正當(dāng)性的情況下，不應(yīng)將人員權(quán)限分