DevOps 文化?在企業(yè)中的興起加快了產(chǎn)品交付時(shí)間。自動(dòng)化無疑有它自己的優(yōu)勢。然而，容器化和云軟件開發(fā)的興起正使組織面臨新的攻擊面。

如今，企業(yè)中機(jī)器身份的數(shù)量遠(yuǎn)遠(yuǎn)超過了人類身份。事實(shí)上，機(jī)器身份的興起造成“網(wǎng)絡(luò)安全債”不斷累積，增加安全風(fēng)險(xiǎn)。

以下是機(jī)器身份造成的三個(gè)主要安全風(fēng)險(xiǎn)以及應(yīng)對(duì)措施：

· 證書更新問題

機(jī)器身份的保護(hù)方式與人類不同。人類 的ID 可以使用登錄名和密碼進(jìn)行驗(yàn)證，但機(jī)器 ID 需要使用證書和密鑰，而這些憑證則存在一個(gè)有效期的問題。

證書的有效期一般為兩年，但是技術(shù)的快速發(fā)展已將一些證書的有效期縮短至 13 個(gè)月。鑒于在給定的 DevOps 周期中通常存在數(shù)千個(gè)機(jī)器身份，所有這些證書的有效期都不同，因此進(jìn)行手動(dòng)更新和審計(jì)幾乎不可能。

依賴手動(dòng)流程來驗(yàn)證證書的團(tuán)隊(duì)可能會(huì)面臨計(jì)劃外的中斷，這是 DevOps 運(yùn)維無法承受的。具有面向公眾服務(wù)的公司可能會(huì)因此類中斷而遭受負(fù)面的品牌影響。2021 年2月發(fā)生了一次與證書相關(guān)的宕機(jī)事件，過期的TLS證書使Google Voice崩潰，導(dǎo)致其24小時(shí)不可用。

自動(dòng)化證書管理是解決此問題的最佳方案。例如Akeyless 這類的解決方案可以自動(dòng)審核和更新過期證書。除了適合更廣泛的 DevOps 自動(dòng)化外，Akeyless 等工具還簡化了機(jī)密管理。例如，該工具允許企業(yè)通過在機(jī)器訪問敏感信息時(shí)創(chuàng)建一次性、短期證書來實(shí)現(xiàn)即時(shí)訪問。這些證書消除了對(duì)靜態(tài)密鑰和證書的需求，從而減少了公司內(nèi)部的潛在攻擊面。

機(jī)器 ID 驗(yàn)證也  依賴于私鑰。隨著企業(yè)中工具使用量的增加，影子 IT 已經(jīng)成為一個(gè)主要問題。即使員工僅試用 SaaS 軟件的試用版然后停止使用這些產(chǎn)品，該軟件的安全證書通常仍然會(huì)保留在網(wǎng)絡(luò)上，從而成為攻擊者可以利用的漏洞。

秘密信息管理工具集成您網(wǎng)絡(luò)的各個(gè)方面，并監(jiān)控影子證書和密鑰。因此，刪除多余密鑰并保護(hù)有效密鑰變得簡單。

· 事件響應(yīng)滯后

安全團(tuán)隊(duì)面臨的問題之一是因機(jī)器身份受損或過期而導(dǎo)致的級(jí)聯(lián)問題。例如，如果單個(gè)機(jī)器 ID 被泄露，安全團(tuán)隊(duì)必須迅速更換其密鑰和證書。如果不這樣做，像Jenkins這樣的自動(dòng)化 CI/CD 工具將出現(xiàn)影響發(fā)布進(jìn)度的錯(cuò)誤。

像 Jenkins 這樣的工具連接了 DevOps 運(yùn)維的每個(gè)部分，也會(huì)產(chǎn)生下游問題。然后是第三方工具集成的問題。如果云容器因?yàn)闄z測到單個(gè) ID 存在漏洞而決定撤銷您的所有機(jī)器 ID，該怎么辦？

所有這些問題都會(huì)即刻影響到您的安全團(tuán)隊(duì)，從而導(dǎo)致大量問題，使得將所有問題歸咎于一個(gè)根本原因極具挑戰(zhàn)性。好消息是自動(dòng)化和電子密鑰管理簡化了這個(gè)過程。這些工具將使您的安全團(tuán)隊(duì)全面了解數(shù)字密鑰和證書的位置，以及更新或頒發(fā)新證書所需的步驟。

令人驚訝的是，由于 DevOps 中的容器化方法，大多數(shù)組織缺乏對(duì)關(guān)鍵位置的可見性。大多數(shù)產(chǎn)品團(tuán)隊(duì)都是各自為營，并在生產(chǎn)之前聚集在一起集成不同的代碼。其結(jié)果則是缺乏對(duì)不同移動(dòng)部分的安全透明度。

在機(jī)器 ID 主導(dǎo)的世界中，安全性不能保持靜態(tài)或集中。您必須創(chuàng)建敏捷的安全態(tài)勢以匹配敏捷的開發(fā)環(huán)境。這種態(tài)勢將幫助您快速應(yīng)對(duì)級(jí)聯(lián)問題并確定根本原因。

· 缺乏審計(jì)洞察力

機(jī)器 ID 的興起并沒有被忽視。政府越來越多地強(qiáng)制要求加密密鑰，以監(jiān)控?cái)?shù)字身份，尤其是在監(jiān)管敏感業(yè)務(wù)部門時(shí)。再加上企業(yè)必須遵守的數(shù)據(jù)隱私法律，對(duì)于任何手動(dòng)機(jī)器ID管理程序來說都是極大的困擾。

如今，失敗的安全審計(jì)會(huì)導(dǎo)致可怕的后果。除了失去公眾信任之外，組織還為黑客設(shè)定了一個(gè)目標(biāo)，這通常會(huì)增加安全漏洞的幾率。一般的企業(yè)在其權(quán)限下可能有數(shù)十萬個(gè)機(jī)器身份，每個(gè)身份都有不同的配置和有效期。

人類團(tuán)隊(duì)無法跟上這些身份的步調(diào)。然而有許多組織仍以這種方式為其安全團(tuán)隊(duì)分配任務(wù)，使他們面臨重大的安全風(fēng)險(xiǎn)。即使手動(dòng)過程處理密鑰更新，人為錯(cuò)誤也會(huì)產(chǎn)生問題。此外，期望少數(shù)管理員了解每個(gè)證書的信任要求是不現(xiàn)實(shí)的。

像 Hashicorp 這樣的自動(dòng)化解決方案可以無縫地解決這些問題，因?yàn)樗峁┝税踩珗F(tuán)隊(duì)可以使用的簡單審計(jì)和合規(guī)性數(shù)據(jù)。

自動(dòng)化是關(guān)鍵

DevOps 優(yōu)先考慮整個(gè)運(yùn)維的自動(dòng)化。要包括安全性，您必須在整個(gè)組織中自動(dòng)化和集成這些應(yīng)用程序，以創(chuàng)建靈活的安全態(tài)勢。如果不這樣做，機(jī)器身份數(shù)量的增加將使您的安全團(tuán)隊(duì)負(fù)擔(dān)過重，無法應(yīng)對(duì)威脅。

原標(biāo)題：How to Combat the Biggest Security Risks Posed by Machine Identities

鏈接：https://thehackernews.com/2022/07/how-to-combat-biggest-security-risks_29.html?