非人類身份：網(wǎng)絡安全的新盲點

編者按：云計算、物聯(lián)網(wǎng)等新技術帶來了更多與傳統(tǒng)人類身份不同的新身份問題，由此也產生新的安全盲點，這些安全盲點是不容忽視的，人們也應該考慮新的身份認證與密碼策略了。

自從計算機出現(xiàn)以來，以用戶名和密碼為代表的認證就一直是用于用戶身份驗證和訪問控制的主要方式。但是，很多數(shù)據(jù)泄露事件的事后分析中揭示出，受到破壞的憑據(jù)已成為當今網(wǎng)絡攻擊者的主要攻擊點。

近期，國外的身份定義安全聯(lián)盟（Identity Defined Security Alliance，IDSA）的一項研究表明，因憑據(jù)問題而導致的數(shù)據(jù)泄露非常普遍（94%的受訪者遭受了與身份相關的網(wǎng)絡攻擊），但同時也是可預防的（99%）。

然而，許多企業(yè)組織仍然缺少與密鑰身份相關的安全控制，并且部分企業(yè)往往將有限的訪問控制策略重點部署在人類用戶身上。而在DevOps、云計算及物聯(lián)網(wǎng)等技術的推動下，數(shù)字化轉型進程大大加快，由此出現(xiàn)的一個結果是，數(shù)以億計的設備及系統(tǒng)中非人類身份的數(shù)量已遠遠超過人類用戶。

那么，這對于密碼來說意味著什么？企業(yè)將采取什么樣的措施來有效控制對其敏感資源的訪問？

一直以來，用戶經常使用靜態(tài)密碼登錄各種帳戶和服務。除非有某些特殊規(guī)定或個人喜好，很多用戶在設置了這些密碼后就會很長時間保持不變。這使得它極易受到攻擊者的覬覦，因為通過靜態(tài)密碼來對用戶身份進行驗證的安全性很低，網(wǎng)絡攻擊者一旦掌握了被泄露的密碼，就可以不受限制地訪問受害者帳戶，還可以在網(wǎng)絡內橫向移動并破壞業(yè)務流程或竊取其他敏感信息。

如果該帳戶是擁有超級權限的特權用戶，那么后果就將更為嚴重。盡管有些企業(yè)通過實施多因素身份驗證（MFA）來強化其安全狀態(tài)，但該附加的保護措施仍難以解決與非人類身份相關的威脅。

超越靜態(tài)密碼

如今，身份的概念不僅包括人員，還包括各種工作負載、服務和機器設備。實際上，在許多企業(yè)中，非人類身份已成為大多數(shù)的“用戶”。機器身份通常與特權帳戶相關聯(lián)，并且往往比現(xiàn)代IT基礎架構中的傳統(tǒng)人類特權帳戶具有更廣泛的區(qū)域。在DevOps和云環(huán)境中尤其如此，其中任務自動化扮演著重要角色。

對于網(wǎng)絡安全來說，這是一個盲點，因為傳統(tǒng)上建立安全控制時并不總是考慮機器設備、物聯(lián)網(wǎng)、服務帳戶以及應用的身份問題。人們不僅低估了數(shù)據(jù)泄露事件中非人類身份的相關性，而且那些需要手動配置的傳統(tǒng)靜態(tài)密碼概念已不適用于快速變化的多云和混合IT環(huán)境——那里的訪問需求通常是暫時的，且迅速變化的。

身份驗證的未來：臨時令牌

企業(yè)不應當再繼續(xù)依賴靜態(tài)密碼方式了，而應采用動態(tài)密碼方法。動態(tài)密碼是基于證書的臨時訪問憑據(jù)，它解決了靜態(tài)密碼的主要安全問題，而又不影響數(shù)字化IT環(huán)境中的可用性和敏捷性。

通過實施基于臨時證書的授權，企業(yè)無需永久訪問憑據(jù)即可訪問目標系統(tǒng)，以確保必須對所有的訪問進行身份驗證、授權和加密。對于每個會話（包括人或機器），臨時證書都是由受信任第三方的CA頒發(fā)。出于安全的目的，臨時證書對用戶身份進行編碼，并且使用壽命很短，從而避免了中間人攻擊的風險。

CA根據(jù)基于規(guī)則創(chuàng)建的用戶角色（包括工作負載、服務和計算機的角色）控制對目標系統(tǒng)的訪問。特定角色的規(guī)則是根據(jù)安全策略和訪問要求生成的。然后CA從傳統(tǒng)企業(yè)目錄（例如Microsoft Active Directory）中獲取每個角色的規(guī)則，并使用它們來確定適當?shù)纳矸蒡炞C。這種方法減輕了為每個用戶設置訪問權限的過程，并簡化了對用戶組的更新。

結語

根據(jù)IDSA的研究，只有不到一半的企業(yè)完全實施了與身份相關的密鑰訪問控制。此外，靜態(tài)密碼已不適用于當前以機器身份為主導的、敏捷的IT環(huán)境。因此，更好的方法是實施動態(tài)密碼策略，該策略通過與最小特權方法相結合使用，可以盡可能減小與身份相關的安全風險。