从SolarWinds到Ubiquiti,数据泄露占据了最近的头条新闻,它们都有一个风险:非人类身份。随着受影响的企业逐渐恢复,人们开始讨论为什么会发生这些违规行为以及如何更好地提高安全性。然而,有一件事每个人都同意:传统安全已死,原因在于云。技术格局已经改变,传统的安全措施不再有效。人类与非人类的互动成为新的战场。正如美国网络安全和基础设施安全局的技术战略家JayGazlay在最近的一次会议上所说:“身份现在就是一切。”企业已经从单体应用套件走向微服务模式,实现了瀑布式开发到Agility,IT控制转向DevOps控制,数据中心转向云架构,人工部署架构转向代码部署。由于期望云环境中24/7的高安全性,安全团队正在尽最大努力控制非人类身份。具有强烈责任感的团队必须重新考虑他们如何管理安全性。现在几乎每一次重大数据泄露都涉及身份泄露,然后通过操纵人类或非人类身份进行访问。非人类身份也有访问数据的权限,这些权限使违规行为更具影响力。如果企业不管理非人类身份,那么这场战斗就已经输了。什么是非人类身份?非人类身份有多种形式,但总的来说,它们以智能的方式行事,并代表人类身份做出决定。常见的非人类身份包括角色、服务条款、无服务器功能、代码架构、容器、计算资源等。非人类身份的短暂性、轻量级、缺乏可视化等特点导致难以管理:以容器编排为例,一般容器生命周期为12小时;22%的企业启用的Serverless功能可能只存在几秒钟。由于非人类身份的轻量级特性及其在企业中的广泛存在,难以对其进行批量风险评估。一般企业可能在虚拟环境和云中运行大约1,000个虚拟机。这些虚拟机可能连接全球数以千计的设备,以及多个软件定义架构的组件。非人类身份的数量远远多于人类身份,而且它们通常存在于安全团队不知道的地方。企业在云中拥有超过10,000个已定义角色的情况并不少见,其中许多角色与非人类身份相关。数据不再只存在于一个集中位置——所有这些身份都在使用它。为了最大限度地降低风险,企业需要不断发现、分类、审计和保护数据,并实施最小权限策略。非人类身份需要保持最小特权最小特权原则是安全的基本规则,只为身份提供他们完成工作所需的权限。对所有身份实施最小权限控制是最佳实践,也是降低总体基于身份的风险的最有效方法。最小权限应该对每个访问决策生效,需要回答谁、何时、什么、在哪里以及如何等关键问题。有效权限,或身份获得的完整权限集,描绘了身份可以做什么和访问资源的视图。企业必须能够端到端地理解非人类身份的有效同意,以确保数据安全。管理有效权限是首要任务身份现在是新领域,需要对所有身份(人类或非人类)进行完整的身份管理。如果企业未能在技术生态系统中部署这些能力,他们将面临各种安全和合规风险。主要目标是提高安全性、加强合规性、降低业务风险以及推动业务增长和创新。如果要保护非人类身份,组织需要:持续维护所有身份的目录评估他们的有效权限并监控变化确保身份安全解决方案有效并配置和管理特权非人类身份需要控制所有身份以及这些身份在环境中的交互方式。因此,企业需要减少共享账户的数量,使所有在系统中交互的人和非人身份都可以有一个托管的身份,并应用最小权限、最少访问和职责分离的原则;跟踪和问责制。企业还需要有一个标准化的身份管理策略——毕竟,身份现在是恶意行为者的共同目标。
