非人類身份：網(wǎng)絡(luò)安全的新盲點

編者按：云計算、物聯(lián)網(wǎng)等新技術(shù)帶來了更多與傳統(tǒng)人類身份不同的新身份問題，由此也產(chǎn)生新的安全盲點，這些安全盲點是不容忽視的，人們也應(yīng)該考慮新的身份認(rèn)證與密碼策略了。

自從計算機出現(xiàn)以來，以用戶名和密碼為代表的認(rèn)證就一直是用于用戶身份驗證和訪問控制的主要方式。但是，很多數(shù)據(jù)泄露事件的事后分析中揭示出，受到破壞的憑據(jù)已成為當(dāng)今網(wǎng)絡(luò)攻擊者的主要攻擊點。

近期，國外的身份定義安全聯(lián)盟（Identity Defined Security Alliance，IDSA）的一項研究表明，因憑據(jù)問題而導(dǎo)致的數(shù)據(jù)泄露非常普遍（94%的受訪者遭受了與身份相關(guān)的網(wǎng)絡(luò)攻擊），但同時也是可預(yù)防的（99%）。

然而，許多企業(yè)組織仍然缺少與密鑰身份相關(guān)的安全控制，并且部分企業(yè)往往將有限的訪問控制策略重點部署在人類用戶身上。而在DevOps、云計算及物聯(lián)網(wǎng)等技術(shù)的推動下，數(shù)字化轉(zhuǎn)型進程大大加快，由此出現(xiàn)的一個結(jié)果是，數(shù)以億計的設(shè)備及系統(tǒng)中非人類身份的數(shù)量已遠(yuǎn)遠(yuǎn)超過人類用戶。

那么，這對于密碼來說意味著什么？企業(yè)將采取什么樣的措施來有效控制對其敏感資源的訪問？

一直以來，用戶經(jīng)常使用靜態(tài)密碼登錄各種帳戶和服務(wù)。除非有某些特殊規(guī)定或個人喜好，很多用戶在設(shè)置了這些密碼后就會很長時間保持不變。這使得它極易受到攻擊者的覬覦，因為通過靜態(tài)密碼來對用戶身份進行驗證的安全性很低，網(wǎng)絡(luò)攻擊者一旦掌握了被泄露的密碼，就可以不受限制地訪問受害者帳戶，還可以在網(wǎng)絡(luò)內(nèi)橫向移動并破壞業(yè)務(wù)流程或竊取其他敏感信息。

如果該帳戶是擁有超級權(quán)限的特權(quán)用戶，那么后果就將更為嚴(yán)重。盡管有些企業(yè)通過實施多因素身份驗證（MFA）來強化其安全狀態(tài)，但該附加的保護措施仍難以解決與非人類身份相關(guān)的威脅。

超越靜態(tài)密碼

如今，身份的概念不僅包括人員，還包括各種工作負(fù)載、服務(wù)和機器設(shè)備。實際上，在許多企業(yè)中，非人類身份已成為大多數(shù)的“用戶”。機器身份通常與特權(quán)帳戶相關(guān)聯(lián)，并且往往比現(xiàn)代IT基礎(chǔ)架構(gòu)中的傳統(tǒng)人類特權(quán)帳戶具有更廣泛的區(qū)域。在DevOps和云環(huán)境中尤其如此，其中任務(wù)自動化扮演著重要角色。

對于網(wǎng)絡(luò)安全來說，這是一個盲點，因為傳統(tǒng)上建立安全控制時并不總是考慮機器設(shè)備、物聯(lián)網(wǎng)、服務(wù)帳戶以及應(yīng)用的身份問題。人們不僅低估了數(shù)據(jù)泄露事件中非人類身份的相關(guān)性，而且那些需要手動配置的傳統(tǒng)靜態(tài)密碼概念已不適用于快速變化的多云和混合IT環(huán)境——那里的訪問需求通常是暫時的，且迅速變化的。

身份驗證的未來：臨時令牌

企業(yè)不應(yīng)當(dāng)再繼續(xù)依賴靜態(tài)密碼方式了，而應(yīng)采用動態(tài)密碼方法。動態(tài)密碼是基于證書的臨時訪問憑據(jù)，它解決了靜態(tài)密碼的主要安全問題，而又不影響數(shù)字化IT環(huán)境中的可用性和敏捷性。

通過實施基于臨時證書的授權(quán)，企業(yè)無需永久訪問憑據(jù)即可訪問目標(biāo)系統(tǒng)，以確保必須對所有的訪問進行身份驗證、授權(quán)和加密。對于每個會話（包括人或機器），臨時證書都是由受信任第三方的CA頒發(fā)。出于安全的目的，臨時證書對用戶身份進行編碼，并且使用壽命很短，從而避免了中間人攻擊的風(fēng)險。

CA根據(jù)基于規(guī)則創(chuàng)建的用戶角色（包括工作負(fù)載、服務(wù)和計算機的角色）控制對目標(biāo)系統(tǒng)的訪問。特定角色的規(guī)則是根據(jù)安全策略和訪問要求生成的。然后CA從傳統(tǒng)企業(yè)目錄（例如Microsoft Active Directory）中獲取每個角色的規(guī)則，并使用它們來確定適當(dāng)?shù)纳矸蒡炞C。這種方法減輕了為每個用戶設(shè)置訪問權(quán)限的過程，并簡化了對用戶組的更新。

結(jié)語

根據(jù)IDSA的研究，只有不到一半的企業(yè)完全實施了與身份相關(guān)的密鑰訪問控制。此外，靜態(tài)密碼已不適用于當(dāng)前以機器身份為主導(dǎo)的、敏捷的IT環(huán)境。因此，更好的方法是實施動態(tài)密碼策略，該策略通過與最小特權(quán)方法相結(jié)合使用，可以盡可能減小與身份相關(guān)的安全風(fēng)險。