現今數位化企業的業務運作均須依賴商用、內部開發及開源應用程式,而且越來越多企業利用自動化IT基礎設施及開發維運方法加速開發及創新。儘管不同組織的應用程式及IT環境有很大差異,但有一件事始終不變:每個應用程式、腳本、自動化工具及其他非人類身份都必須依賴某種形式的特權憑證來存取其他工具、應用程式與資料。
什麼是金鑰?
非人類特權的憑證通常被稱為「金鑰」,即一條作為解鎖密鑰的私密資訊,用於解開工具、應用程式、容器、開發維運及 雲端原生環境內受保護的資源或敏感資訊。
最常見的金鑰類型包括:
- 特權帳戶憑證
- 密碼
- 證書
- SSH 密鑰
- API 密鑰
- 加密密鑰
管理金鑰的主要挑戰
擁有金鑰存取權的非人類用戶可自動取得對該金鑰所有者任何資源的即時存取及許可權限。網路攻擊者很清楚這一點,因此他們鎖定金鑰為目標,以便能夠未經授權即能存取其他金鑰和主機,進而達成其任務。針對金鑰的網路攻擊經常會擴散至遠遠超出初始外洩的範圍。
金鑰的應用十分廣泛。包括容器化應用程式(例如Red Hat OpenShift、Kubernetes或Pivotal)內的嵌入式寫死憑證;自動化流程(例如Ansible Playbook、Puppet或Chef);業務關鍵型應用程式,包括內部開發及商用現成解決方案(COTS);安全軟體,例如漏洞掃描器;應用伺服器及IT管理軟體、機器人流程自動化(RPA)平台以及持續整合/持續部署(CI/CD)工具鏈。
自動化流程非常強大。 它們可存取受保護的資料、以無可比擬的速度擴縮、使用雲端資源及立即執行業務流程。然而,如同廣泛報導的資安漏洞事件,自動化流程也容易遭受精密的網路攻擊,攻擊可能突然發生且迅速散播。組織必須保護指派給非人類身份的金鑰,以防禦攻擊並降低風險。
什麼是金鑰管理?
金鑰管理是數位化企業的資安最佳實踐做法,讓組織能夠統一實施非人類身份的安全政策。金鑰管理可確保所有工具堆疊、平台和雲端環境上的資源只能由經過驗證及授權的實體存取。
以下措施通常包含於金鑰管理計劃內。這些做法及技術許多也用於保護人類用戶的特權存取。
- 對所有使用非人類憑證的存取要求進行身份驗證。
- 實施 。
- 實施 以角色為基礎的存取控制(RBAC),並定期輪換金鑰和憑證。
- 自動管理金鑰並使用一致的存取政策。
- 追蹤所有存取並維護全面的稽核。
- 從程式碼、組態檔案及其他不受保護的區域刪除金鑰。
什麼是公共金鑰管理用例?
保護CI/CD管道的金鑰管理。 常用的CI/CD管道工具(例如Jenkins、 Ansible、Puppet和Chef等) 專為提高效率及速度而設計,但可能帶來新的安全挑戰。這些自動組態管理工具需要金鑰來存取受保護的資源,例如資料庫、SSH伺服器和HTTPs服務。而這些金鑰通常以不安全的方式寫死或儲存在工具的組態檔案或程式碼內(例如JenkinsFiles、劇本、腳本或原始碼)。有效的金鑰管理可讓組織從CI/CD管道內的開發維運工具中刪除這些被寫死的金鑰,同時提供完整的稽核追蹤、以政策為基礎的RBAC及金鑰輪換。
保護容器的金鑰管理。開發維運與工程團隊越來越依賴容器來加速開發並提高可攜性及生產力。容器需要金鑰來存取關鍵及敏感的資訊。但是,由於容器是暫時性(或短期)的工具,可能不易追蹤,對特定資源的存取也難以管理及保護。金鑰管理安全措施可讓團隊利用本機容器平台屬性驗證對金鑰的容器請求,並利用RBAC分層分級政策來管理金鑰。
管理彈性及自動擴縮環境的金鑰管理。
雲端供應商提供自動擴縮功能來支援彈性(短暫)以及按用量付費的經濟模式。儘管這可提高效率,但也帶來了新的安全管理挑戰,尤其是可擴縮性方面的挑戰。實施金鑰管理的最佳實踐做法,讓組織可以即時為主機分配身份並根據預先定義的安全政策對調用應用程式進行安全的驗證,而無需由人類操作員將政策手動套用至每個新主機。
保護內部開發應用程式及COTS應用程式的金鑰管理。
內部開發的應用程式與腳本以及第三方工具和解決方案(例如安全工具、RPA、自動化工具和IT管理工具等)通常需要跨企業基礎設施的高級別特權存取,才能完成其預定任務。有效的金鑰管理實踐做法需要從內部開發的應用程式與腳本中刪除寫死憑證並集中儲存、管理及輪換所有金鑰,以將風險降至最低。
