DevOps文化企业文化的兴起加速了产品交付时间。自动化当然有其优势。然而,容器化和云软件开发的兴起使组织面临新的攻击面。如今,企业中机器身份的数量远远超过人类身份。事实上,机器身份的兴起导致了“网络安全债务”的积累,增加了安全风险。以下是机器身份带来的三大安全风险以及如何应对它们:·凭证更新问题机器身份不像人类那样受到保护。可以使用登录名和密码对人类ID进行身份验证,但机器ID需要证书和密钥,并且这些凭证有有效期。证书的有效期一般为两年,但技术的快速发展已将一些证书的有效期缩短至13个月。鉴于在给定的DevOps周期中通常有数以千计的机器身份,所有这些证书都有不同的有效期,使得手动更新和审计几乎不可能。依赖手动流程验证证书的团队可能会面临DevOps操作无法承受的计划外中断。由于此类中断,提供面向公众服务的公司可能会遭受品牌负面影响。2021年2月发生了一次与证书相关的中断,其中过期的TLS证书导致GoogleVoice崩溃,导致24小时内无法使用。自动化证书管理是解决这个问题的最佳方案。Akeyless等解决方案可以自动审核和更新过期证书。除了适用于更广泛的DevOps自动化之外,Akeyless等工具还简化了机密管理。例如,该工具允许企业通过在机器访问敏感信息时创建一次性、短期凭证来实现即时访问。这些证书消除了对静态密钥和证书的需求,从而减少了公司内部的潜在攻击面。机器ID验证也依赖于私钥。随着企业中工具使用的增加,影子IT已成为一个主要问题。即使员工仅试用SaaS软件的试用版然后停止使用这些产品,该软件的安全凭证通常仍保留在网络上,从而造成攻击者可以利用的漏洞。机密管理工具集成了网络的各个方面并监控影子证书和密钥。因此,删除冗余密钥和保护有效密钥变得简单。安全团队面临的问题之一是由受损或过期的机器身份引起的级联问题。例如,如果单个机器ID遭到破坏,安全团队必须迅速更换其密钥和证书。如果您不这样做,像Jenkins这样的自动化CI/CD工具将会有影响您的发布进度的错误。像Jenkins这样的工具连接DevOps操作的每个部分,也会产生下游问题。然后是第三方工具集成的问题。如果CloudContainer决定撤销您的所有机器ID,因为它在单个ID中检测到漏洞怎么办?所有这些问题都会同时影响您的安全团队,导致大量问题,使得将所有问题归因于一个单一的根本原因具有挑战性。好消息是自动化和电子密钥管理简化了流程。这些工具将使您的安全团队完全了解数字密钥和证书的位置,以及更新或颁发新证书所需的步骤。令人惊讶的是,由于DevOps中的容器化方法,大多数组织缺乏对关键位置的可见性。大多数产品团队都是孤岛,在生产前聚集在一起集成不同的代码片段。结果是不同移动部分缺乏安全透明度。在一个由机器ID主导的世界中,安全不能保持静态或集中。您必须创建敏捷的安全态势以匹配敏捷的开发环境。这种姿势将帮助您快速响应级联问题并确定根本原因。缺乏审计洞察力机器ID的兴起并没有被忽视。政府越来越多地强制使用加密密钥来监控数字身份,尤其是在监管敏感业务部门时。这与企业必须遵守的数据隐私法相结合,是任何手动机器ID管理程序都非常头疼的问题。今天,失败的安全审计可能会带来可怕的后果。除了失去公众信任之外,组织还为黑客设定了目标,这通常会增加安全漏洞的可能性。一个典型的企业可能拥有数十万个机器身份,每个身份都有不同的配置和有效期。人类团队无法跟上这些身份的步伐。然而,许多组织仍然以这种方式为其安全团队分配任务,使他们面临重大的安全风险。即使手动过程处理重新键入密钥,人为错误也会产生问题。此外,期望少数管理员了解每个证书的信任要求是不现实的。像Hashicorp这样的自动化解决方案无缝地解决了这些问题,因为它提供了安全团队可以使用的简单审计和合规性数据。自动化是关键DevOps优先考虑整个运维的自动化。要包括安全性,您必须在整个组织中自动化和集成这些应用程序,以创建敏捷的安全态势。否则,机器身份数量的增加将使您的安全团队无法应对威胁。原标题:如何应对机器身份带来的最大安全风险链接:https://thehackernews.com/2022/07/how-to-combat-biggest-security-risks_29.html
