DevOps 文化?在企業(yè)中的興起加快了產(chǎn)品交付時間。自動化無疑有它自己的優(yōu)勢。然而，容器化和云軟件開發(fā)的興起正使組織面臨新的攻擊面。

如今，企業(yè)中機器身份的數(shù)量遠遠超過了人類身份。事實上，機器身份的興起造成“網(wǎng)絡安全債”不斷累積，增加安全風險。

以下是機器身份造成的三個主要安全風險以及應對措施：

· 證書更新問題

機器身份的保護方式與人類不同。人類 的ID 可以使用登錄名和密碼進行驗證，但機器 ID 需要使用證書和密鑰，而這些憑證則存在一個有效期的問題。

證書的有效期一般為兩年，但是技術的快速發(fā)展已將一些證書的有效期縮短至 13 個月。鑒于在給定的 DevOps 周期中通常存在數(shù)千個機器身份，所有這些證書的有效期都不同，因此進行手動更新和審計幾乎不可能。

依賴手動流程來驗證證書的團隊可能會面臨計劃外的中斷，這是 DevOps 運維無法承受的。具有面向公眾服務的公司可能會因此類中斷而遭受負面的品牌影響。2021 年2月發(fā)生了一次與證書相關的宕機事件，過期的TLS證書使Google Voice崩潰，導致其24小時不可用。

自動化證書管理是解決此問題的最佳方案。例如Akeyless 這類的解決方案可以自動審核和更新過期證書。除了適合更廣泛的 DevOps 自動化外，Akeyless 等工具還簡化了機密管理。例如，該工具允許企業(yè)通過在機器訪問敏感信息時創(chuàng)建一次性、短期證書來實現(xiàn)即時訪問。這些證書消除了對靜態(tài)密鑰和證書的需求，從而減少了公司內部的潛在攻擊面。

機器 ID 驗證也  依賴于私鑰。隨著企業(yè)中工具使用量的增加，影子 IT 已經(jīng)成為一個主要問題。即使員工僅試用 SaaS 軟件的試用版然后停止使用這些產(chǎn)品，該軟件的安全證書通常仍然會保留在網(wǎng)絡上，從而成為攻擊者可以利用的漏洞。

秘密信息管理工具集成您網(wǎng)絡的各個方面，并監(jiān)控影子證書和密鑰。因此，刪除多余密鑰并保護有效密鑰變得簡單。

· 事件響應滯后

安全團隊面臨的問題之一是因機器身份受損或過期而導致的級聯(lián)問題。例如，如果單個機器 ID 被泄露，安全團隊必須迅速更換其密鑰和證書。如果不這樣做，像Jenkins這樣的自動化 CI/CD 工具將出現(xiàn)影響發(fā)布進度的錯誤。

像 Jenkins 這樣的工具連接了 DevOps 運維的每個部分，也會產(chǎn)生下游問題。然后是第三方工具集成的問題。如果云容器因為檢測到單個 ID 存在漏洞而決定撤銷您的所有機器 ID，該怎么辦？

所有這些問題都會即刻影響到您的安全團隊，從而導致大量問題，使得將所有問題歸咎于一個根本原因極具挑戰(zhàn)性。好消息是自動化和電子密鑰管理簡化了這個過程。這些工具將使您的安全團隊全面了解數(shù)字密鑰和證書的位置，以及更新或頒發(fā)新證書所需的步驟。

令人驚訝的是，由于 DevOps 中的容器化方法，大多數(shù)組織缺乏對關鍵位置的可見性。大多數(shù)產(chǎn)品團隊都是各自為營，并在生產(chǎn)之前聚集在一起集成不同的代碼。其結果則是缺乏對不同移動部分的安全透明度。

在機器 ID 主導的世界中，安全性不能保持靜態(tài)或集中。您必須創(chuàng)建敏捷的安全態(tài)勢以匹配敏捷的開發(fā)環(huán)境。這種態(tài)勢將幫助您快速應對級聯(lián)問題并確定根本原因。

· 缺乏審計洞察力

機器 ID 的興起并沒有被忽視。政府越來越多地強制要求加密密鑰，以監(jiān)控數(shù)字身份，尤其是在監(jiān)管敏感業(yè)務部門時。再加上企業(yè)必須遵守的數(shù)據(jù)隱私法律，對于任何手動機器ID管理程序來說都是極大的困擾。

如今，失敗的安全審計會導致可怕的后果。除了失去公眾信任之外，組織還為黑客設定了一個目標，這通常會增加安全漏洞的幾率。一般的企業(yè)在其權限下可能有數(shù)十萬個機器身份，每個身份都有不同的配置和有效期。

人類團隊無法跟上這些身份的步調。然而有許多組織仍以這種方式為其安全團隊分配任務，使他們面臨重大的安全風險。即使手動過程處理密鑰更新，人為錯誤也會產(chǎn)生問題。此外，期望少數(shù)管理員了解每個證書的信任要求是不現(xiàn)實的。

像 Hashicorp 這樣的自動化解決方案可以無縫地解決這些問題，因為它提供了安全團隊可以使用的簡單審計和合規(guī)性數(shù)據(jù)。

自動化是關鍵

DevOps 優(yōu)先考慮整個運維的自動化。要包括安全性，您必須在整個組織中自動化和集成這些應用程序，以創(chuàng)建靈活的安全態(tài)勢。如果不這樣做，機器身份數(shù)量的增加將使您的安全團隊負擔過重，無法應對威脅。

原標題：How to Combat the Biggest Security Risks Posed by Machine Identities

鏈接：https://thehackernews.com/2022/07/how-to-combat-biggest-security-risks_29.html?