如今，全面的數(shù)字化轉(zhuǎn)型計劃正在流程自動化、制造和物聯(lián)網(wǎng) (IoT) 等領(lǐng)域?qū)崿F(xiàn)組織改進。然而，現(xiàn)代工廠、工業(yè)設(shè)施和企業(yè)中連接設(shè)備和機器的指數(shù)級增長暴露了機器對機器通信中的關(guān)鍵網(wǎng)絡(luò)安全漏洞。必須對機器身份進行適當?shù)纳矸蒡炞C和管理，以確保僅向合法用戶或機器授予訪問權(quán)限，無論涉及的身份數(shù)量或設(shè)施網(wǎng)絡(luò)的復(fù)雜性如何。

什么是機器身份管理？

機器身份管理包括用于管理機器在安全網(wǎng)絡(luò)環(huán)境中或在線訪問資源和其他機器所需的憑證認證的系統(tǒng)和過程。本質(zhì)上，該機器身份是用于建立信任、驗證其他機器和加密通信的數(shù)字憑證或“指紋”。

如果沒有適當?shù)纳矸蒡炞C管理，數(shù)字化流程固有的不斷增加的機器交互數(shù)量會對業(yè)務(wù)連續(xù)性和惡意攻擊的潛在破壞構(gòu)成重大風險。唯一身份使這些過程能夠使用加密密鑰和數(shù)字證書確定交互是否值得信賴。每臺機器都有一個機器標識，從工廠的機器人和?HVAC 系統(tǒng)?到計算機和移動設(shè)備，再到現(xiàn)代企業(yè)數(shù)字生態(tài)系統(tǒng)中的服務(wù)器和網(wǎng)絡(luò)硬件。

機器身份不僅僅是數(shù)字 ID 號或簡單的標識符，例如序列號或零件號。它是經(jīng)過身份驗證的憑據(jù)的混合體，可證明機器已被授權(quán)訪問在線資源或網(wǎng)絡(luò)。

機器身份是更廣泛的數(shù)字身份基礎(chǔ)的子集，包括企業(yè)環(huán)境中的所有人員和應(yīng)用程序身份。它超越了易于識別的用例，例如驗證通過 Wi-Fi 遠程訪問網(wǎng)絡(luò)的筆記本電腦。在無人參與的系統(tǒng)之間進行數(shù)百萬或數(shù)十億次日常通信需要機器身份，例如傳感器與工業(yè)系統(tǒng)或應(yīng)用服務(wù)器通信，生成或使用跨多個數(shù)據(jù)中心存儲的數(shù)據(jù)。例如，以下每一項都將被分配一個唯一的機器標識：

移動設(shè)備和智能手機

電腦和筆記本電腦

物聯(lián)網(wǎng) (IoT) 設(shè)備

Web 服務(wù)器和應(yīng)用程序服務(wù)器

自動化工廠和倉儲設(shè)施

網(wǎng)絡(luò)設(shè)備和路由器

為什么機器身份至關(guān)重要？

隨著數(shù)字化轉(zhuǎn)型計劃的擴大，參與實現(xiàn)其效益的機器數(shù)量也在增加。處于這一趨勢中的組織需要全面的戰(zhàn)略和戰(zhàn)術(shù)執(zhí)行，以實現(xiàn)一個有組織的數(shù)字身份系統(tǒng)，可靠地保護、管理和驗證機器對機器的通信。

跨云和多云環(huán)境、分布式勞動力和創(chuàng)新連接設(shè)備的應(yīng)用程序和數(shù)據(jù)以需要強大的數(shù)字身份方法來抵御持續(xù)和新興威脅的方式相交。必須了解，許多這些交叉路口的特點是自動化，在機器對機器通信期間沒有人工交互。安全隱患是巨大的。

機器交互必須安全且快速，以提供在全球范圍內(nèi)實現(xiàn)企業(yè)級保護所需的可靠性和可擴展性。

但隨著已經(jīng)復(fù)雜的環(huán)境擴展到包括制造機器人、自動化裝配線、移動設(shè)備、云基礎(chǔ)設(shè)施、DevOps、物聯(lián)網(wǎng)和物理設(shè)備，未能管理身份所固有的財務(wù)風險急劇增加。雖然不正確的身份管理使企業(yè)更容易受到網(wǎng)絡(luò)犯罪分子、惡意軟件和欺詐的攻擊，但它也使組織面臨與員工生產(chǎn)力、客戶體驗問題、合規(guī)不足等相關(guān)的風險。

機器身份如何支持零信任

越來越多的 IT 安全專業(yè)人員正在通過采取零信任的方法來彌補差距。這意味著永遠不會隱含地授予信任，必須不斷評估。驗證所有數(shù)字身份，包括機器身份，對于支持這種零信任模型尤為重要。機器身份包括對網(wǎng)絡(luò)中的每個設(shè)備和進程授予詳細的訪問控制、特權(quán)訪問控制和權(quán)限。

現(xiàn)代企業(yè)依靠公鑰基礎(chǔ)設(shè)施 (PKI) 證書作為確保身份的黃金標準。PKI 充當零信任架構(gòu)的基礎(chǔ)組件，該架構(gòu)遵循所有最終用戶、設(shè)備和應(yīng)用程序身份的強大安全參數(shù)。使用數(shù)字證書及其加密密鑰對可以加強對機器身份的驗證。PKI 還可以用于保護位于防火墻網(wǎng)絡(luò)架構(gòu)之外的實體之間的連接。

在這個數(shù)字化轉(zhuǎn)型的時代，零信任模型增強了機器身份保護，同時增加了對 PKI 的整合、自動化和現(xiàn)代方法的需求。

數(shù)字身份與密碼與 MFA

今天的 IT 安全團隊必須能夠識別和驗證整個工廠和企業(yè)的身份——無論這些身份屬于人類、設(shè)備、數(shù)據(jù)還是應(yīng)用程序。密碼和多因素身份驗證 (MFA) 過去提供了一定的安全措施，但它們不再像以前那樣有效。

不良行為者越來越擅長通過一系列狡猾的方法竊取身份。（圖片：Sectigo）

在人類身份方面，許多組織已轉(zhuǎn)向 MFA，在某些情況下，還轉(zhuǎn)向基于生物特征的身份驗證。通常被吹捧為密碼、電話和一次性密碼的安全替代方案，OATH 令牌 MFA 解決方案充滿了記錄在案的漏洞。事實證明，它們?nèi)菀资艿脚c竊取密碼一樣容易且可擴展的高調(diào)攻擊。此外，員工使用具有 MFA 的應(yīng)用程序的努力——比記住密碼已經(jīng)具有挑戰(zhàn)性的麻煩要麻煩得多——使員工和 IT 管理員的生活變得更加復(fù)雜。

機器身份給 IT 團隊帶來了一系列額外的問題。

如前所述，機器對機器通信的特點是自動化。機器無法回答智能手機以獲得一次性密碼。在自動化通信過程中存儲或傳輸密碼為漏洞打開了大門。鑒于數(shù)字業(yè)務(wù)轉(zhuǎn)型的激增，組織需要一種完全不同且更好的方法來驗證機器身份。

與密碼和 MFA 相比，使用數(shù)字證書的數(shù)字身份消除了對可被網(wǎng)絡(luò)犯罪分子截獲的共享秘密的依賴。當機器證明擁有私鑰時進行身份驗證，私鑰通常存儲在機器的硬件安全模塊 (HSM) 中并加以保護。然后交易由私鑰簽名并由公鑰驗證。這個公鑰/私鑰對是由幾種健壯的密碼算法之一生成的。

與基于密碼的身份驗證相比，此過程提供了更出色的數(shù)據(jù)保護和安全性，以防止黑客入侵，原因如下：

私鑰永遠不會離開客戶端。?與密碼相反，密碼很容易通過日益復(fù)雜的網(wǎng)絡(luò)釣魚攻擊有意或無意地共享。

私鑰不能在傳輸過程中被盜，因為它永遠不會被傳輸。?與在 Internet 傳輸過程中可能被盜的密碼不同，私鑰永遠不會被傳輸。

無法從服務(wù)器存儲庫中竊取私鑰。?存儲在中央服務(wù)器存儲庫中的密碼可能會被盜；私鑰只有用戶設(shè)備知道，不集中存儲。

用戶無需記住密碼或輸入用戶名。?用戶的設(shè)備只需存儲一個私鑰以在需要時提供，從而提供更無縫的用戶體驗。

為什么要自動化機器身份管理？

機器身份隨著需要機器對機器通信的進程和設(shè)備數(shù)量的增加而增加。根據(jù)?思科年度互聯(lián)網(wǎng)報告，到 2023 年，全球?qū)⒂?293 億臺聯(lián)網(wǎng)設(shè)備，高于 2018 年的 184 億臺連接。五年內(nèi)新增設(shè)備超過 100 億臺，是 2021 年全球人口的三倍多。

因此，當今的現(xiàn)代企業(yè)在全球范圍內(nèi)保護敏感數(shù)據(jù)所需的機器身份數(shù)量正在經(jīng)歷前所未有的增長。讓事情變得更具挑戰(zhàn)性的是，數(shù)字證書生命周期的持續(xù)縮短意味著 IT 團隊將難以更頻繁地更換證書并在比以往更短的時間內(nèi)管理更多身份。

雖然沒有比 PKI 提供的數(shù)字身份更強大、更易于使用的身份驗證和加密解決方案，但忙碌的 IT 團隊面臨的挑戰(zhàn)是手動部署和管理證書非常耗時，并且可能導(dǎo)致不必要的風險。底線？手動機器身份管理既不可持續(xù)也不可擴展。

無論企業(yè)是為 Web 服務(wù)器部署單個 SSL 證書，還是管理其所有聯(lián)網(wǎng)設(shè)備身份的數(shù)百萬個證書，證書頒發(fā)、配置和部署的端到端過程都可能需要數(shù)小時。手動管理證書還使企業(yè)面臨被忽視的證書意外過期和所有權(quán)缺口的巨大風險——丟球可能導(dǎo)致與證書相關(guān)的中斷、關(guān)鍵業(yè)務(wù)系統(tǒng)故障以及安全漏洞和攻擊。

客戶和內(nèi)部用戶依賴關(guān)鍵業(yè)務(wù)系統(tǒng)始終可用。但近年來，過期證書導(dǎo)致許多備受矚目的網(wǎng)站和服務(wù)中斷。其結(jié)果是數(shù)十億美元的收入損失、合同罰款、訴訟以及品牌聲譽受損和客戶商譽損失的無法估量的成本。

自動化機器身份管理時要尋找什么？

對于 CIO 和 CSO 來說，自動化機器身份管理的投資回報是顯而易見的。

IT 專業(yè)人員必須重新考慮他們的證書生命周期管理策略。尤其是隨著企業(yè)越來越多地將依賴于快速變化的 DevOps 環(huán)境的服務(wù)推向市場，組織需要一種自動化的解決方案，以確保在沒有人工干預(yù)的情況下正確配置和實施證書。自動化有助于降低風險，也有助于 IT 部門控制運營成本并縮短產(chǎn)品和服務(wù)的上市時間。

最近，PKI 已經(jīng)發(fā)展為更加通用?；ゲ僮餍?、高正常運行時間和治理仍然是關(guān)鍵優(yōu)勢。但是今天的 PKI 解決方案在功能上也能夠通過以下方式改進管理和證書生命周期管理：

自動化：?完成單個任務(wù)，同時最大限度地減少手動流程。

協(xié)調(diào)：?使用自動化來管理廣泛的任務(wù)組合。

可擴展性：?管理數(shù)百、數(shù)千甚至數(shù)百萬的證書。

加密敏捷性：快速?更新加密強度并用量子安全證書撤銷和替換有風險的證書，以響應(yīng)新的或不斷變化的威脅。

可見性：?在所有用例中通過單一窗格查看證書狀態(tài)。

鑒于使用數(shù)字證書的許多不同的機器、系統(tǒng)和應(yīng)用程序，IT 團隊經(jīng)常發(fā)現(xiàn)自己管理著來自許多不同供應(yīng)商的不同自動化服務(wù)。運行多個自動化平臺通常會導(dǎo)致效率降低。單個證書管理儀表板可跨所有用例和供應(yīng)商平臺自動執(zhí)行發(fā)現(xiàn)、部署和生命周期管理，從而實現(xiàn)自動化所承諾的效率。IT 團隊仍然保持對配置定義和規(guī)則的控制，以便正確執(zhí)行自動化步驟。

自動化證書管理解決方案使為許多企業(yè)、企業(yè)和工業(yè)應(yīng)用程序開發(fā)和實施安全解決方案變得更加容易和快捷。（圖片：Sectigo）

受信任的證書頒發(fā)機構(gòu) (CA) 提供?數(shù)字身份管理自動化解決方案?，使企業(yè)能夠敏捷、高效并完全控制其環(huán)境中的所有證書，包括驗證機器身份的證書。

您的 CA 應(yīng)支持通過行業(yè)領(lǐng)先的協(xié)議、API 和第三方集成自動安裝、撤銷和續(xù)訂 SSL/TLS 和非 SSL 證書。最后，CA 消除了開源替代品可能出現(xiàn)的證書容量上限問題。

關(guān)于作者

Tim Callan，全球最大的商業(yè)證書頒發(fā)機構(gòu) Sectigo 的首席合規(guī)官，專門構(gòu)建的自動化 PKI 解決方案的領(lǐng)導(dǎo)者，并共同主持了流行的 PKI 和安全播客“根本原因”。Tim 在知名 PKI 和數(shù)字證書技術(shù)提供商（包括 VeriSign、Symantec、DigiCert 和 Comodo CA）的領(lǐng)導(dǎo)職位上擁有 20 多年的經(jīng)驗。自 2006 年以來，他一直是一名安全博主，經(jīng)常發(fā)表技術(shù)文章。他曾在 RSA Security Expo、Search Engine Strategies、ClickZ 和 Internet Retailer Conference and Expo 等會議上發(fā)表演講。作為 CA/瀏覽器論壇的創(chuàng)始成員，Tim 在 2000 年代后期創(chuàng)建和推出擴展驗證 SSL 方面發(fā)揮了關(guān)鍵作用。

審核編輯 黃昊宇