DevOps 文化?在企業(yè)中的興起加快了產品交付時間。自動化無疑有它自己的優(yōu)勢。然而，容器化和云軟件開發(fā)的興起正使組織面臨新的攻擊面。

如今，企業(yè)中機器身份的數量遠遠超過了人類身份。事實上，機器身份的興起造成“網絡安全債”不斷累積，增加安全風險。

以下是機器身份造成的三個主要安全風險以及應對措施：

· 證書更新問題

機器身份的保護方式與人類不同。人類 的ID 可以使用登錄名和密碼進行驗證，但機器 ID 需要使用證書和密鑰，而這些憑證則存在一個有效期的問題。

證書的有效期一般為兩年，但是技術的快速發(fā)展已將一些證書的有效期縮短至 13 個月。鑒于在給定的 DevOps 周期中通常存在數千個機器身份，所有這些證書的有效期都不同，因此進行手動更新和審計幾乎不可能。

依賴手動流程來驗證證書的團隊可能會面臨計劃外的中斷，這是 DevOps 運維無法承受的。具有面向公眾服務的公司可能會因此類中斷而遭受負面的品牌影響。2021 年2月發(fā)生了一次與證書相關的宕機事件，過期的TLS證書使Google Voice崩潰，導致其24小時不可用。

自動化證書管理是解決此問題的最佳方案。例如Akeyless 這類的解決方案可以自動審核和更新過期證書。除了適合更廣泛的 DevOps 自動化外，Akeyless 等工具還簡化了機密管理。例如，該工具允許企業(yè)通過在機器訪問敏感信息時創(chuàng)建一次性、短期證書來實現即時訪問。這些證書消除了對靜態(tài)密鑰和證書的需求，從而減少了公司內部的潛在攻擊面。

機器 ID 驗證也  依賴于私鑰。隨著企業(yè)中工具使用量的增加，影子 IT 已經成為一個主要問題。即使員工僅試用 SaaS 軟件的試用版然后停止使用這些產品，該軟件的安全證書通常仍然會保留在網絡上，從而成為攻擊者可以利用的漏洞。

秘密信息管理工具集成您網絡的各個方面，并監(jiān)控影子證書和密鑰。因此，刪除多余密鑰并保護有效密鑰變得簡單。

· 事件響應滯后

安全團隊面臨的問題之一是因機器身份受損或過期而導致的級聯問題。例如，如果單個機器 ID 被泄露，安全團隊必須迅速更換其密鑰和證書。如果不這樣做，像Jenkins這樣的自動化 CI/CD 工具將出現影響發(fā)布進度的錯誤。

像 Jenkins 這樣的工具連接了 DevOps 運維的每個部分，也會產生下游問題。然后是第三方工具集成的問題。如果云容器因為檢測到單個 ID 存在漏洞而決定撤銷您的所有機器 ID，該怎么辦？

所有這些問題都會即刻影響到您的安全團隊，從而導致大量問題，使得將所有問題歸咎于一個根本原因極具挑戰(zhàn)性。好消息是自動化和電子密鑰管理簡化了這個過程。這些工具將使您的安全團隊全面了解數字密鑰和證書的位置，以及更新或頒發(fā)新證書所需的步驟。

令人驚訝的是，由于 DevOps 中的容器化方法，大多數組織缺乏對關鍵位置的可見性。大多數產品團隊都是各自為營，并在生產之前聚集在一起集成不同的代碼。其結果則是缺乏對不同移動部分的安全透明度。

在機器 ID 主導的世界中，安全性不能保持靜態(tài)或集中。您必須創(chuàng)建敏捷的安全態(tài)勢以匹配敏捷的開發(fā)環(huán)境。這種態(tài)勢將幫助您快速應對級聯問題并確定根本原因。

· 缺乏審計洞察力

機器 ID 的興起并沒有被忽視。政府越來越多地強制要求加密密鑰，以監(jiān)控數字身份，尤其是在監(jiān)管敏感業(yè)務部門時。再加上企業(yè)必須遵守的數據隱私法律，對于任何手動機器ID管理程序來說都是極大的困擾。

如今，失敗的安全審計會導致可怕的后果。除了失去公眾信任之外，組織還為黑客設定了一個目標，這通常會增加安全漏洞的幾率。一般的企業(yè)在其權限下可能有數十萬個機器身份，每個身份都有不同的配置和有效期。

人類團隊無法跟上這些身份的步調。然而有許多組織仍以這種方式為其安全團隊分配任務，使他們面臨重大的安全風險。即使手動過程處理密鑰更新，人為錯誤也會產生問題。此外，期望少數管理員了解每個證書的信任要求是不現實的。

像 Hashicorp 這樣的自動化解決方案可以無縫地解決這些問題，因為它提供了安全團隊可以使用的簡單審計和合規(guī)性數據。

自動化是關鍵

DevOps 優(yōu)先考慮整個運維的自動化。要包括安全性，您必須在整個組織中自動化和集成這些應用程序，以創(chuàng)建靈活的安全態(tài)勢。如果不這樣做，機器身份數量的增加將使您的安全團隊負擔過重，無法應對威脅。

原標題：How to Combat the Biggest Security Risks Posed by Machine Identities

鏈接：https://thehackernews.com/2022/07/how-to-combat-biggest-security-risks_29.html?