集中管理用于访问应用程序、服务和IT生态系统所有其他部分的工具、方法和凭证值得企业关注。当今企业IT场景的特点是持续的数字化转型和大规模的数据生成。随着远程和移动工作成为COVID-19后的新常态,移动性和敏捷性已成为业务连续性的重要驱动力。为了自动化和集成所有可能的业务功能,集中和加速数据和信息的流动,提高生产力并提供更好的客户体验,许多企业正在使用复杂的混合多云运营模型来构建敏捷的DevOps环境。然而,强大的移动性和即时数据带来了巨大的责任。企业在保护数据、服务和个人身份信息(PII)安全方面面临着越来越多的挑战。尽管技术一直在进步,但人们仍然年复一年地看到大量数据泄露事件。企业如何改进数据存储、管理和保护方法,确保员工可以直接访问数字资源,同时加强整个IT基础架构的安全性?答案在于有效的企业保密管理。什么是机密管理?为什么需要秘密管理?机密管理是一组适当的工具和最佳实践,用于在整个生命周期内安全地存储、访问和集中管理数字身份验证凭证。机密是用于身份验证和授权的数据项——它们包括密码、公钥和私钥、SSH密钥、API、令牌和证书。机器和人类都使用秘密进行身份验证和通信。但是为什么首先需要秘密管理呢?基于SaaS的机密管理工具Akeyless的首席执行官兼联合创始人OdedHareven解释说,“随着向混合多云基础架构的广泛转变以及对应用程序容器化的依赖,机器和人们持续访问系统和数据的需求已经增长戏剧性地。例如,越来越多的应用程序必须不断访问不同的数据源、云服务和服务器,通常需要为每种资源提供不同类型的凭证。这是DevOps过程的一个重要方面,它创造了对秘密的指数级需求。”棘手的部分是开发人员经常将各种秘密编码到应用程序或微服务代码、脚本、自动化工具和代码库中——所有这些都驻留在不同的基础上。在设施中。更糟糕的是,这些代码处于不同的开发阶段,存在管理不善和不受保护的真正风险。结果是总体上缺乏对秘密的控制和整合,导致安全行业称之为“秘密蔓延”。麻烦并没有就此停止。在执行持续集成(CI)/持续交付(CD)的云平台中保存的秘密对于管理和允许访问其他机器和软件来说是必不可少的。为此,他们需要存储秘密和签名密钥(用于密封代码和软件更新),这些密钥通常存储在不安全的位置,例如开发人员的笔记本电脑或他们构建的服务器。秘密蔓延不仅使凭据难以跟踪和管理,而且容易受到黑客攻击。事实上,根据Verizon最近的一份调查报告,被盗凭据占所有数据泄露的近一半。最近的许多黑客攻击,包括软件供应链黑客攻击,都利用了代码中的秘密,这些秘密再次存储在GitHub等易于访问的存储库中。事实上,GitHub最近在数千个私有存储库中检测到超过700,000次潜在的凭证泄露,并已做好准备。这些例子不断涌现。最近曝光的软件供应链攻击劫持了流行的PHP和Python库来窃取AWS密钥。在另一个例子中,一项帮助开源开发人员编写和测试软件的流行服务被发现泄露了数以千计的身份验证令牌和其他秘密,允许黑客访问Docker、Github、AWS等开发人员的代码存储库。上的私人帐户。但有人可能会问,是否已经有一种方法可以保护密码、密钥和其他凭据?是的,这就是问题的一部分。机密管理中的挑战当今的安全解决方案在管理机密时效率低下且重复。其中一些挑战是:(1)机密性在许多企业中蔓延,将其运营从内部部署转移到云端——秘密也是如此。全球三大云计算提供商等都提供了自己的保密管理解决方案,大多数企业默认接受这些解决方案,只是为了得到更好的解决方案,还有什么比云计算提供商自己更安全的平台呢?但是,随着混合多云架构成为中心舞台——唯一一种越来越多地被采用的IT运营模式——大多数DevOps团队发现他们自己处理微服务和容器的多个环境。这些环境有数以千计的机器对机器组件相互通信,导致数量惊人的密钥、令牌和其他秘密在流通。秘密的爆炸和扩散对于管理员和DevOps从业者来说是一个巨大的操作负担。当今可用的大量云计算和虚拟化解决方案允许用户大规模创建和销毁虚拟机和应用程序。不用说,这些VM实例中的每一个都有自己的一组需要管理的秘密。此外,仅SSH密钥一项在企业中就可能达到数百万。除此之外,Ansible作业、Kubernetes容器和日常批处理例程都倾向于使用需要轮换的密码。所有这些系统都无法访问其环境之外的安全资源。没有统一的控制平面可以帮助企业管理存储在不同平台上的多个秘密存储库。(2)可见性不足静态的秘密被本地化到不同的环境(如云平台、本地、边缘计算或混合部署),由不同的个人、团队和管理员管理,形成“秘密孤岛”。这不可避免地会导致审计挑战和安全漏洞。(3)Vault解决方案的复杂性由于大量现有和遗留工具和平台(包括DevOps和非DevOps)以及每个工具和平台的规模庞大,原生Vault解决方案在许多情况下效果不佳。此外,在混合环境中基于底层计算、存储和网络基础设施配置保管库可能很困难。频繁更新的需求只会增加本地保管库的复杂性。基于云的保险库也不安全。一个巨大的危险信号是,这些产品是云提供商专有的,并且只支持在他们自己的环境和生态系统中运行的工作负载,因此它们也不适合混合云架构。即使企业只采用一家主要的云提供商,也只会导致金库蔓延。另一个问题是企业的主密钥与云计算提供商共享。这意味着流氓管理员、黑客或政府机构可以访问它们,让用户束手无策。完美的机密管理解决方案完美的机密管理解决方案可能并不存在。但这并不意味着企业无法创建万无一失的身份和访问管理(IAM)策略来保护自己免受已知类型的威胁。身份和访问管理(IAM)是新的边界——它是现代安全策略的基础。随着自动化程度的提高和随需求波动的动态工作负载数量的增加,验证人类和机器用户身份(身份验证)并证明他们对资源的访问权限(授权)的需求变得更加复杂。此外,身份验证的性质也在不断变化。应用程序和数据库模块不再像过去那样局限于几段代码。相反,它们是微服务和子组件的复杂动态集成,每个组件都有自己的身份验证过程。以下是在多云环境中运营或混合使用本地、私有云和公共云系统的企业应该在机密管理平台或解决方案中寻找的东西:对于混合云、多云和多云locales:这可能是企业关注的最重要的因素之一。尽可能选择使用云原生技术的平台,以与跨平台、跨环境的工作流无缝集成。您的机密管理解决方案应支持启用身份和访问管理(IAM)的机器对机器和人对机器身份验证和验证不同类型的机密,例如SSH证书、API密钥、x.509证书、加密密钥等,以强制执行持续的安全合规性。兼容不同的身份验证协议、语言和设备:重要的是,企业的机密管理工具通过所有主要接口(当然)包括命令行、GUI、RESTAPI和SDK身份验证,通过第三方身份提供商支持人员、硬件和软件身份验证主要语言。不用说,它应该促进动态秘密,并与常见的基于云的平台(如Docker、Kubernetes、Terraform、Ansible和Jenkins)集成,以实现不间断的DevOps操作。然后是缩放的问题。如果企业希望在“云规模”上发展和扩展其地理或技术基础设施,它需要能够扩展其机密管理功能以支持所有现有和即将推出的工具和插件。可通过统一的SaaS平台进行管理:当今的安全团队需要集中查看和控制企业使用的所有环境中所有用户、应用程序和设备的身份验证。“一些安全领导者表示,他们需要一种直观的基于SaaS的秘密管理工具,可以实时了解每个秘密使用实例、审计日志记录和强大的分析,”Hareven说。实现机密信息零问题并实施零信任模型:密码管理是当今的一项常见功能。例如,某人可能有一个电子表格或文档,其中存储了他们使用的各种应用程序或控制面板的所有密码。但是,要打开此电子表格,他们可能需要另一个密码。他们还需要用户凭据才能登录操作系统和访问电子表格。机密管理解决方案应提供一组初始凭据以及用于持续身份验证的临时令牌或密钥,以便永远不会泄露机密。这属于零信任架构(ZTA)的前提,该架构遵循最小特权(PoLP)原则,在该原则下,用户和应用程序被授予在特定时间对特定数量资源的“即时”和精细访问权限——仅在向管理员“证明”他们的请求。这些权限是动态授予的,并会在预设的时间范围后自动过期。保守秘密理想的秘密管理平台支持企业中的DevOps、云迁移和数字化转型,使不同的团队能够访问他们需要的资源并自主管理他们的秘密。借助从云中“作为服务”交付的解决方案,您可以减少维护开销、提高可用性并扩展运营以满足您的业务增长目标。
