机器身份–经常被忽视的网络安全拼图:来自Gartner分析师大卫Mahdi的会议的外卖

在简化PKI 2021的第2天,David Mahdi返回另一个破解会话,这次在机器身份上。机器身份是他在前一届世界级加密卓越中心的旅程中简要触及的概念(从会议上获取见解 这里)在本届会议上,他在机器身份上发布了一个完整的账户,他们对网络安全的影响和管理措施。让我们潜入。

数字业务正在蓬勃发展。对于数字业务工作,必须在各种数字组件之间信任,并且加密是带来这一信任的基础。

建立数字信任的一个重要元素是身份和访问管理(IAM)。随着数字转型的安全身份要求,IAM准备成为下一个大事。 Gartner预测IAM市场,从目前(2021年)1100万美元的2024年成长为1900万美元。

然而,IAM有一个主要问题 - 它主要专注于人类。 IAM处理身份验证,身份管理,身份编程,数字签名,仅适用于人类。现代身份决策是在各种业务单位和团队的交叉口,如Devops,云,安全,IAM和基础设施和运营(I&O) teams.

当人类完全控制网络时,这种方法可能是多年前的。然而,具有身份成为新的周边,不再是这种情况。 iam有一个主要的缺失部分,这是机器身份。即使在当前的数字业务状态,机器标识也无处可行。

Gartner定义了五大支柱,支持总体的IAM概念,即身份治理和管理(IGA),特权访问管理(PAM),身份验证和访问管理。在四个技术支柱的核心,介绍了IAM计划管理,该管理涉及人民和流程部分。

但是,机器身份在这些支柱中适合哪里?

正如马赫迪所说,他们到处都适应。它们是每个IAM支柱的元素部分。而不仅仅是我–在网络安全的几乎每个方面都存在机器标识,例如零信任安全性,以及网络安全之外的快速增长区域,例如机器人过程自动化(RPA)。但是,根据Gartner多年来的研究,作为市场的机器身份管理无处可行为IAM;事实上,它仍然比较新。

为什么我们需要机器身份管理?

启用零信任

零信任并不意味着你不信任任何东西;它意味着只有当您将其作为信任网络的一部分识别出来时才相信某些内容。机器身份有助于建立此信任。当您使用个人设备访问公司的资源时,该公司的网络必须相信您的设备让它进入。通过为其提供证书来赋予该信任。下次设备请求访问权限时,该公司会检查其上的证书,验证它,并授权设备。

与devops合作

开发人员需要证书来编码其软件,识别容器工作负载,以及RPA中监督和无监督机器人的身份。在RPA中,机器人互相交互以完成任务,之后他们消失,并且创建了一组新的机器人。需要仔细的身份管理来建立和维护在此类动态环境中的信任。

机器到机器交互远远超过人机交互,这就是为什么现在强调需要在管理身份,数据和联系人上。这进一步证实了较早的声明,即身份是新的周边。 Gartner在这个空间的研究中,在2021年及以后,机器身份管理是必不可少的。

但首先,什么是机器身份?

要定义机器身份,让我们将它们与熟悉的人类身份进行比较。人类的身份可以由角色定义,例如员工,合作伙伴,客户,供应商和顾问。同样,机器身份可以是工作负载,例如容器,虚拟机,应用程序和服务,或设备,如移动设备,IOT / OT,桌面和计算机。身份也可以在人类和机器之间的某个地方,例如机器人。监督机器人可以是人类的克隆,作为代理并处理人类通常会做的可重复任务。在这种情况下,机器人更像是人类身份或人类身份的衍生版本。无人监督的机器人是一台机器。无监督的机器人的一个例子将是一个聊天字,它一旦客户打开聊天弹出窗口就会创建。 Chatbot将被配置为自己处理所有交互,并且需要进行身份验证以访问其他计算机以获取数据并将其呈现给客户。对于此身份验证,Chatbot需要一个身份,它不是智能卡或OTP或令牌。在这种情况下的标识通常是证书或密钥,这是一旦聊天程序实例化。

在这种动态环境中,机器及其身份可能占数千,或数十万个数量。电子表格不再是管理这种巨大的身份的可行选择。如果要有效地管理机器身份,组织需要自动化。

身份生命周期

每一个身份,人类或机器都经过生命周期。让我们来看看人类身份生命周期。假设你正在开设一个新的银行账户。身份生命周期中的第一阶段是登上或身份肯定。这是您提交身份证明的阶段,例如驾驶执照,社会安全号码等。一旦银行进行背景检查并确认您的身份,它将您注册为用户。

下一阶段正在进行访问或用户身份验证。现在,每次需要访问您的帐户时,您都会输入您在登机期间创建的用户名和密码,或通过发送到注册的手机号码或电子邮件地址的OTP进行身份验证,甚至通过移动设备上的生物识别身份验证设备。

最后,我们有身份恢复。这不是基本上是一个阶段,而是用户忘记密码或丢失经过身份验证的设备的事件。这是密码重置发生的阶段。欺诈检测是此阶段的另一个方面,其中该应用程序确保恶意机器人无法访问您的帐户,或者您的帐户尚未被黑客攻击。

机器身份也通过类似的生命周期。首先,发现机器–它们中的哪个部分,它们的类型(服务器或客户)等等,因此,生成其诸如密钥和证书等标识。同样,基于部署类型,如何发生生成的变化。键可以在预沿生成并推送到云,或者他们可以遵循逐个(带上自己的钥匙)方法,或者它们可以在一个云中生成并在多云部署中使用另一个云。

接下来分布。这是所生成的身份存储在安全地点的阶段,称为信任锚。这可能是笔记本电脑和移动设备中的安全保险库,或硬件或软件安全模块。

以下分发是旋转和撤销。身份不能永远使用,因为这使得它易于黑客攻击。它必须续签,或被摧毁和再生。点的案例是我们早先看到的无监督的Chatbot示例。聊天是短暂的–当用户单击聊天弹出窗口时,它们会立即实现,他们处理会话,并消失。当他们消失时,与他们相关的身份需要被摧毁。

身份技术

身份空间中有许多技术,例如HSM(这是生成和存储钥匙的基础技术),PAM,密钥管理系统(KMS),PKI和证书管理系统,秘密管理器,安全壳(SSH)等。大多数是相互关联和相互依存的–他们以不同目的处理相同的身份。在这里,我们看到这些技术的融合,并使它们彼此集成有助于组织获得高水平的加密成熟度。

网络安全网格

融合技术并不意味着购买新产品–它意味着具有安全路线图和投资产品,帮助您实现共同目标。走向此方法的方法是打破团队和技术之间的现有孤岛,并创建一个网络安全结构,跨越您的设备,技术,业务单位和部署。网络安全网格应该是可编程的–团队只需宣布他们的意图,网格提供所需的结果,例如具有网络安全网格方法的信任分数,策略合规性等级等,帮助组织变得更加密码敏捷,从而赋予它们更快地调整,调整和更改。

点击这里阅读关于David Mahdi的会话 前往世界级加密卓越中心的旅程.

标签

nishevitha ramamoorthy

关于作者

nishevitha ramamoorthy

产品营销经理 - AppViewX ADC +

Nishevitha是AppViewX的产品营销人员。她写了研究,并建立策略,以将产品的价值传达给潜在的买家。

从这个作者阅读更多

想要更多的内容吗?

订阅我们的博客,以获得技术提示,行业新闻,并在您的收件箱中获得领导文章!

相关文章

发布时间: 2021-05-08 18:43:25

最近发表