非人類身份：網絡安全的新盲點

編者按：云計算、物聯網等新技術帶來了更多與傳統人類身份不同的新身份問題，由此也產生新的安全盲點，這些安全盲點是不容忽視的，人們也應該考慮新的身份認證與密碼策略了。

自從計算機出現以來，以用戶名和密碼為代表的認證就一直是用于用戶身份驗證和訪問控制的主要方式。但是，很多數據泄露事件的事后分析中揭示出，受到破壞的憑據已成為當今網絡攻擊者的主要攻擊點。

近期，國外的身份定義安全聯盟（Identity Defined Security Alliance，IDSA）的一項研究表明，因憑據問題而導致的數據泄露非常普遍（94%的受訪者遭受了與身份相關的網絡攻擊），但同時也是可預防的（99%）。

然而，許多企業組織仍然缺少與密鑰身份相關的安全控制，并且部分企業往往將有限的訪問控制策略重點部署在人類用戶身上。而在DevOps、云計算及物聯網等技術的推動下，數字化轉型進程大大加快，由此出現的一個結果是，數以億計的設備及系統中非人類身份的數量已遠遠超過人類用戶。

那么，這對于密碼來說意味著什么？企業將采取什么樣的措施來有效控制對其敏感資源的訪問？

一直以來，用戶經常使用靜態密碼登錄各種帳戶和服務。除非有某些特殊規定或個人喜好，很多用戶在設置了這些密碼后就會很長時間保持不變。這使得它極易受到攻擊者的覬覦，因為通過靜態密碼來對用戶身份進行驗證的安全性很低，網絡攻擊者一旦掌握了被泄露的密碼，就可以不受限制地訪問受害者帳戶，還可以在網絡內橫向移動并破壞業務流程或竊取其他敏感信息。

如果該帳戶是擁有超級權限的特權用戶，那么后果就將更為嚴重。盡管有些企業通過實施多因素身份驗證（MFA）來強化其安全狀態，但該附加的保護措施仍難以解決與非人類身份相關的威脅。

超越靜態密碼

如今，身份的概念不僅包括人員，還包括各種工作負載、服務和機器設備。實際上，在許多企業中，非人類身份已成為大多數的“用戶”。機器身份通常與特權帳戶相關聯，并且往往比現代IT基礎架構中的傳統人類特權帳戶具有更廣泛的區域。在DevOps和云環境中尤其如此，其中任務自動化扮演著重要角色。

對于網絡安全來說，這是一個盲點，因為傳統上建立安全控制時并不總是考慮機器設備、物聯網、服務帳戶以及應用的身份問題。人們不僅低估了數據泄露事件中非人類身份的相關性，而且那些需要手動配置的傳統靜態密碼概念已不適用于快速變化的多云和混合IT環境——那里的訪問需求通常是暫時的，且迅速變化的。

身份驗證的未來：臨時令牌

企業不應當再繼續依賴靜態密碼方式了，而應采用動態密碼方法。動態密碼是基于證書的臨時訪問憑據，它解決了靜態密碼的主要安全問題，而又不影響數字化IT環境中的可用性和敏捷性。

通過實施基于臨時證書的授權，企業無需永久訪問憑據即可訪問目標系統，以確保必須對所有的訪問進行身份驗證、授權和加密。對于每個會話（包括人或機器），臨時證書都是由受信任第三方的CA頒發。出于安全的目的，臨時證書對用戶身份進行編碼，并且使用壽命很短，從而避免了中間人攻擊的風險。

CA根據基于規則創建的用戶角色（包括工作負載、服務和計算機的角色）控制對目標系統的訪問。特定角色的規則是根據安全策略和訪問要求生成的。然后CA從傳統企業目錄（例如Microsoft Active Directory）中獲取每個角色的規則，并使用它們來確定適當的身份驗證。這種方法減輕了為每個用戶設置訪問權限的過程，并簡化了對用戶組的更新。

結語

根據IDSA的研究，只有不到一半的企業完全實施了與身份相關的密鑰訪問控制。此外，靜態密碼已不適用于當前以機器身份為主導的、敏捷的IT環境。因此，更好的方法是實施動態密碼策略，該策略通過與最小特權方法相結合使用，可以盡可能減小與身份相關的安全風險。