在这个数字化转型的时代,新技术经常被应用到IT基础设施中, 更加重视健全的机器身份管理(MIM). 但是你如何保护那些你不知道自己拥有的东西呢? 这是组织在不断增长的风险面中面临的一个常见困境,因为云迁移和数字化转型正在以指数方式增加组织必须保护的机器身份数量.
无法完全了解组织中证书和密钥数量的后果可能是代价高昂且严重的. 让我们盘点一下我们个人生活和职业生活中属于机器身份保护伞下的一些支柱:
- 手机应用程序
- 汽车系统
- Wi-Fi和VPN接入
- 加密的电子邮件
- 远程系统管理访问
- 工业物联网
- 网上银行和网上购物
- 应用程序
- 家庭物联网
- 和更多的……
更进一步, 想想救生医疗设备, 比如起搏器和胰岛素泵, 有可以被破坏的证书吗, 很明显,这是一个需要我们全力关注的情况.
管理机器身份的常见挑战包括与证书相关的中断, PKI更新和证书即服务, 密钥和证书审计结果, 未受保护的DevOps IT服务和未受管理的SSH密钥.
那么,从业者如何才能避开这些潜在的陷阱呢? 机器身份管理的三个主要原则是:
可见性 -完全可见到您的证书基础结构, 对设备进行未验证和已验证的扫描, 监控状态, 得到通知, 了解证书密码过期并更新.
控制 -根据特定的业务用例对证书和密钥进行分组,以确保审计和遵从性, 定义基于角色的粒度访问控制, 为每个用户和证书或密钥相关活动创建审计跟踪,以防止未经授权的操作, 标准化证书流程,杜绝流氓行为, 未知的, 以及不合规的证书.
自动化 – automation is an important way forward; use certificate management tools to fully automate renewal, 撤销, 以及AppViewX等配置流程.
不作为有很大的风险. 考虑以下的可能性:
- 绕过安全控制的代码签名恶意软件
- 中间人攻击通过滥用证书实现
- 与被解雇的员工一起离开的SSH密钥
- 使用被盗或伪造的SSL/TLS密钥和证书的欺骗网站
- 证书过期导致的服务中断
长期以来,MIM一直是我的热情所在,因为我亲自领导了这一类别的创建,并看到了这个风险面变得多么大. 采用MIM程序的重要好处包括避免中断, 提高安全, 加强投资, 实现合规性并加速数字化转型项目.
要使身份管理成功,它必须是基础的. 记住,你无法保护你不知道自己拥有的东西! 有什么问题吗?? 问问!
# DoWhatYouLove # LoveWhatYouDo
