如何应对机器身份带来的最大安全风险

DevOps文化在企业中的兴起加快了产品交付时间。自动化无疑有其优势。然而，集装箱化和云软件开发的兴起使组织面临新的攻击面。

如今，在企业中，机器身份的数量大大超过了人类身份。事实上，机器身份的兴起正在产生网络安全债务，并增加安全风险。

让我们来看一下机器身份造成的三大安全风险–；以及如何与他们作战。

证书续订问题

机器身份的安全保护不同于人类身份。虽然可以使用登录和密码凭据验证人类ID，但机器ID使用证书和密钥。这些类型的凭证的一个大问题是它们有过期日期。

一般来说，证书的有效期为两年，但技术进步的速度很快，一些证书的使用寿命缩短到了13个月。鉴于在给定的DevOps周期中通常存在数千个机器标识，所有这些标识都具有不同的证书到期日期，手动更新和审核过程几乎是不可能的。

依靠手动流程验证证书的团队可能会面临计划外停机，这是DevOps管道无法承受的。具有面向公众服务的公司可能会因此类中断而受到负面品牌影响。2021 2月发生了一次与证书相关的宕机事件，过期的TLS证书使Google Voice崩溃，导致其24小时不可用。

自动证书管理是解决此问题的最佳解决方案。Akeyless的解决方案可以自动审核和更新过期的证书。除了适应DevOps更广泛的自动化主题外，像Akeyless这样的工具还简化了秘密管理。例如，当机器访问敏感信息时，该工具允许企业通过创建一次性、短期的证书来采用即时访问。这些证书消除了对静态密钥和证书的需要，减少了公司内部潜在的攻击面。

机器ID验证也依赖于私钥。随着工具在企业中使用的增加，影子IT已成为一个主要问题。即使员工试用SaaS软件的试用版本，然后停止使用这些产品，软件的安全证书通常仍保留在网络上，从而导致攻击者可以利用的漏洞。

秘密管理工具与网络的各个方面集成，并监视影子证书和密钥。因此，删除多余的密钥并保护有效密钥变得简单。

滞后事件响应

安全团队面临的问题之一是机器身份受损或过期导致的级联问题。例如，如果一个机器ID被泄露，安全团队必须快速更换其密钥和证书。如果做不到这一点，那么像Jenkins这样的自动化CI/CD工具将抛出错误，影响发布时间表。

像Jenkins这样的工具连接了DevOps管道的每个部分，也会产生下游问题。然后是第三方工具集成的问题。如果云容器因为检测到单个ID中存在漏洞而决定撤销您的所有机器ID，该怎么办？

所有这些问题都会立即影响到您的安全团队，造成大量问题，将其归结为一个根本原因非常具有挑战性。好消息是，自动化和电子钥匙管理简化了这一过程。有了这些工具，您的安全团队将完全了解数字密钥和证书的位置，以及更新或颁发新密钥和证书所需的步骤。

令人惊讶的是，由于DevOps中的集装箱化方法，大多数组织缺乏对关键位置的可见性。大多数产品团队工作在筒仓中，在生产之前聚集在一起，集成其各种代码。结果是不同运动部件的安全性缺乏透明度。

在机器ID占主导地位的世界中，安全性不能保持静态或集中。您必须创建与敏捷开发环境相匹配的敏捷安全态势。这种姿态将帮助您快速应对级联问题，并找出根本原因。

缺乏审计洞察力

机器ID的兴起并没有被忽视。政府越来越多地强制要求加密密钥来监控数字身份，尤其是在监管敏感商业部门时。再加上企业必须遵守的数据隐私法网络，任何手动机器ID管理程序都将成为噩梦般的燃料。

这些天，安全审计失败会导致可怕的后果。除了失去公众信任外，组织还为恶意黑客设定了目标，这往往会增加安全漏洞的可能性。一般企业在其权限范围内可以拥有数十万个机器标识，每个标识都有不同的配置和到期日期。

一个人类团队无法希望跟上这些身份的步伐。然而，许多组织以这种方式对其安全团队进行任务分配，使他们面临重大安全风险。即使手动过程处理密钥更新，人为错误也会产生问题。此外，期望少数管理员了解每个证书的信任要求是不现实的。

像Hashicorp这样的自动化解决方案无缝地解决了这些问题，因为它提供了安全团队可以使用的简单的审计和法规遵从性数据。

自动化是关键

DevOps优先考虑整个管道的自动化。要包含安全性，您必须在整个组织中自动化和集成这些应用程序，以创建灵活的安全态势。否则，机器身份数量的增加将使您的安全团队负担过重，无法应对威胁。