如何應對機器身份帶來的安全威脅

企業DevOps文化的興起加速了產品交付時間線。自動化無疑有其優勢。然而，容器化和云軟件開發的發展將企業暴露在一大片新攻擊面之下。

如今，企業里機器身份的數量早已大大超出人員身份的數量。實際上，機器身份的增加正造成網絡安全欠賬，推升了安全風險。

本文謹描述機器身份形成的三種重大安全風險及其應對方法。

證書更新問題

機器身份的保護方式不同于人員身份。人員ID可通過登錄和密碼憑證加以驗證，機器ID則采用證書和密鑰來驗證。這些憑證的一個大問題在于其有效期限。

證書的有效期通常為兩年，但技術進步的飛快速度將某些有效期縮短為13個月。鑒于DevOps周期中常存在幾千個機器身份，且證書有效期各不相同，這就導致手動更新和審計流程幾乎不可能。

依賴手動流程驗證證書的團隊可能會面臨DevOps流水線無法承受的計劃外宕機情形。擁有公開服務的公司可能會因此類宕機情形而損害品牌形象。2021年2月發生的Google Voice事件就是證書相關宕機的絕佳案例，當時Google Voice因為TSL證書過期而崩潰了，整整24小時不能提供穩定服務。

自動化證書管理是該問題的最佳解決方案。Akeyless的解決方案能夠自動審計和更新快要過期的證書。除了順應更廣泛的自動化DevOps潮流之外，Akeyless等工具還簡化了秘密管理。例如，企業可采用該工具在機器訪問敏感信息時創建一次性短期證書，從而實現即時訪問。這些證書免除了對靜態密鑰和證書的需求，減少了公司內部潛在的攻擊面。

機器ID驗證也仰賴私鑰。隨著企業工具使用率的上升，影子IT逐漸成為主要問題。甚至員工試用SaaS軟件再停用之后，這些軟件的安全證書都常會遺留在網絡上，徒增可供攻擊者利用的漏洞。

秘密管理工具與網絡各個方面緊密集成，可以監測影子證書和密鑰，令移除多余密鑰和保護有效密鑰變得簡單。

事件響應滯后

被盜或過期機器身份給安全團隊帶來的一大問題是其所導致的一系列級聯問題。例如，一旦單個機器ID被盜，安全團隊就必須盡快更換其密鑰和證書。如果未能及時更換，Jenkins等一系列自動化持續集成/持續交付（CI/CD）工具就會拋出錯誤，影響發布計劃。

Jenkins等工具串聯DevOps流水線各個環節，還會引發下游問題。此外還有第三方工具集成問題。如果云容器因為檢測到一個被盜ID就決定撤銷你所有的機器ID，會出現什么狀況？

所有這些問題會一股腦襲向你的安全團隊，引發大量問題，導致幾乎不可能歸結為某個根本原因。好消息是自動化和電子密鑰管理簡化了這一過程。在這些工具的幫助下，安全團隊能總覽數字密鑰和證書位置，了解更新或辦法新密鑰或證書的各個步驟。

令人驚訝的是，DevOps的容器化方法致使大多數企業無法全面了解密鑰位置。大多數產品團隊各自為戰，只在生產前聚到一起，集成各自的代碼。這么做的結果就是缺乏對各個不同部分的安全透明度。

在機器ID主導的世界里，安全無法保持靜態或集中。敏捷開發環境要求匹配敏捷安全態勢。這種態勢能幫助企業快速應對級聯問題和確定根本原因。

缺乏審計洞察

機器ID的增多并沒有遭到忽視。各國政府逐漸要求用加密密鑰監控數字身份，尤其是在監管敏感業務部門時。此外還有企業必須遵守的諸多數字隱私法案。這種情況下，任何手動機器ID管理計劃都會成為安全團隊的噩夢。

當今世界，安全審計不過關會導致嚴重后果。除了失去公眾信任，企業還會淪為惡意黑客的攻擊目標，增加發生安全事件的風險。企業通常管理著數十萬個機器身份，每個機器身份的配置和有效期都不一樣。

靠人力是不可能緊密跟蹤所有這些機器身份的。但很多企業還真就讓安全團隊手動管理這諸多機器身份了，平白讓自己承擔了重大安全風險。即便靠手動流程處理密鑰更新事宜，人為失誤也會產生問題。何況，期望少數管理員能了解每個證書的信任要求也不現實。

而Hashicorp這樣的自動化解決方案就能無縫解決此類問題，因為此類解決方案提供安全團隊可以使用的簡易審計和合規數據。

自動化是關鍵

DevOps重視全流程自動化。要納入安全，企業必須全面自動化并集成這些應用，創建起敏捷安全態勢。如果做不到這一點，機器身份數量的增加會令企業的安全團隊不堪重負，無法響應威脅。