本文最初由福布斯发布,作为福布斯技术理事会的一部分。福布斯技术理事会是一个面向世界级首席信息官(cio)、首席技术官(cto)和技术高管的邀请型社区。
零信任是承认防火墙和vpn等传统网络控制不足以保护企业。随着数字化转型、云计算和DevOps趋势的发展,这一点变得越来越真实。
该框架建立在“永不信任,始终验证”的概念之上,并将信任视为一种漏洞。这使得标识成为控制对服务、应用程序和其他业务关键操作的访问的唯一工具之一。
身份是确保当今企业快速增长的数字足迹的关键。这导致了零信任策略的追求和更多地使用公开密钥基础设施(PKI)和数字证书。但在此过程中,安全企业的一个关键组件已经失去了控制。机器身份正呈指数级增长,同样容易受到攻击,但它们没有得到确保安全操作所必需的主动关注。
适当管理和保护机器身份的机制,如X.509证书、对称密钥和安全shell (SSH)密钥,可能使组织机构暴露于勒索软件操作者使用的基于证书的攻击。
最近机器身份的增长也会带来弱点。CyberArk的一份报告发现,机器身份的数量是人类的45-1,68%的非人类身份可以访问敏感数据和资产。
组织需要采取全面的身份识别方法来确保人和机器的安全。考虑有效地使用PKI可以帮助更好地控制其网络上的身份。

机器身份的增长已经超过了保护

业务在基于云的、面向服务的世界中进行。企业正在抛弃传统的基础设施和现场运营。他们正在推进敏捷的、可伸缩的、响应性强的云架构,将事务转移到云内,转移到边缘。
但是,组织的攻击面也在扩大,威胁行为者已经注意到,他们专注于基于凭证的攻击,通过破坏用户身份作为进入网络的途径。专注于身份持续验证的零信任策略是抵御这些攻击的壁垒,但大多数实现都不够全面。
我的公司Keyfactor和波内蒙研究所(Ponemon Institute)最近进行的一项调查强调了在轻率地向数字化转型的过程中出现的挑战,特别是在机器身份方面。
调查受访者已经准备好了PKI,但许多人表示,他们难以实现完整的证书可见性。超过一半的人表示,他们不知道自己所在的机构中有多少密钥和证书在使用。缺乏对证书的控制产生了重大影响,81%的受访者表示,在过去两年里,他们曾两次或两次以上因证书过期而导致的破坏性中断,这一比例较去年的报告增加了77%。受访者平均需要三个小时才能回复与证书相关的故障,但39%的人表示需要四个小时或更长时间。
更短的证书生命周期(从十年前的5年缩短到398天)也使证书的颁发和管理更具挑战性。组织可能曾经对密码学抱着一种“设置并忘记它”的态度——15年前的一些pki仍在使用中——但今天的环境要求关注更快的刷新周期。
向云计算的转变、远程工作人员的增长以及对零信任安全策略的强调,使得PKI、密钥和数字证书得到了更多的使用。但机器身份的扩散仍然需要解决。为了获得控制权,组织需要掌握正确的PKI和证书管理的基础知识。

保护机器标识的步骤

PKI通过颁发数字证书提供唯一的数字身份,为用户、设备和应用程序之间提供安全连接,以进行加密、身份验证和数字签名。
要跟上机器身份的爆炸式增长,需要一种由几个重要特征组成的综合方法。

1. 一个坚实的战略

组织需要一个企业范围的策略来管理密码学和机器身份。通常情况下,企业中没有加密策略的共同所有者,因为跨组织的不同团队广泛使用PKI和机器标识。CISOs和安全领导者需要跨业务单元的无缝协调,以确保系统受到保护,员工可以在不引入漏洞的情况下高效工作。
标准的端到端方法包括定义策略和职责、开发加密清单、识别和纠正漏洞、持续监视和审计以及以敏捷的方式自动化生命周期。

2. Being Crypto-Agile

公司应该关注加密敏捷性,这是一种快速适应有影响的加密事件的能力,例如证书颁发机构的妥协或削弱加密算法的新攻击。
通过加密敏捷性,企业可以执行一种主动的方法来保护身份,并可以以最佳速度响应入侵或事件。展望未来,随着越来越多的企业将其PKI现代化并迁移到云,我们可以预期越来越多的企业将在其事件响应计划中关注加密敏捷性。这将进一步为他们应对今天新出现的与身份相关的威胁做好准备。

3.一个成熟的CCoE

卓越加密中心(CCoE)可以在使用PKI和机器身份方面提供领导、定义所有权并提供指导。CCoE不一定拥有和操作用于PKI和机器标识管理的所有工具,而是作为策略、治理和最佳实践的中心。
作为其中的一部分,业务领导必须考虑哪些安全和非it领导必须参与。参与其中的人必须能够作为顾问和主题专家,并在整个公司交付最佳实践。

4. 权限标识管理工具集

花时间了解不同的解决方案有助于扩展和自动化身份管理是至关重要的。当然,对于诸如身份管理和证书管理之类的元素,您需要不同的工具,但是整合这些需求和工具集的方法越多越好。
总之,在当今现代企业中不断增长的数字足迹与正确管理和保护机器身份所固有的安全挑战之间存在关联。但有了正确的工具和策略,安全领导人就能找到前进的道路。

原文来自keyfactor,沃通整理翻译,转载请注明出处。

参考

  1. https://wosign.com/Products/index.htm

原文地址:http://www.cnblogs.com/SSL-https/p/16866471.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性