工程師和開發(fā)人員需要了解關(guān)于機(jī)器身份的哪些信息？

如今，全面的數(shù)字化轉(zhuǎn)型計(jì)劃正在流程自動(dòng)化、制造和物聯(lián)網(wǎng) (IoT) 等領(lǐng)域?qū)崿F(xiàn)組織改進(jìn)。然而，現(xiàn)代工廠、工業(yè)設(shè)施和企業(yè)中連接設(shè)備和機(jī)器的指數(shù)級(jí)增長(zhǎng)暴露了機(jī)器對(duì)機(jī)器通信中的關(guān)鍵網(wǎng)絡(luò)安全漏洞。

必須對(duì)機(jī)器身份進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證和管理，以確保僅向合法用戶或機(jī)器授予訪問權(quán)限，無論涉及的身份數(shù)量或設(shè)施網(wǎng)絡(luò)的復(fù)雜性如何。

工業(yè)設(shè)施中的所有聯(lián)網(wǎng)機(jī)器都需要擁有自己的安全身份，以防止網(wǎng)絡(luò)攻擊。

什么是機(jī)器身份管理？

機(jī)器身份管理包括用于管理機(jī)器在安全網(wǎng)絡(luò)環(huán)境中或在線訪問資源和其他機(jī)器所需的憑證認(rèn)證的系統(tǒng)和過程。本質(zhì)上，該機(jī)器身份是用于建立信任、驗(yàn)證其他機(jī)器和加密通信的數(shù)字憑證或“指紋”。

如果沒有適當(dāng)?shù)纳矸蒡?yàn)證管理，數(shù)字化流程固有的不斷增加的機(jī)器交互數(shù)量會(huì)對(duì)業(yè)務(wù)連續(xù)性和惡意攻擊的潛在破壞構(gòu)成重大風(fēng)險(xiǎn)。唯一身份使這些過程能夠使用加密密鑰和數(shù)字證書確定交互是否值得信賴。每臺(tái)機(jī)器都有一個(gè)機(jī)器標(biāo)識(shí)，從工廠的機(jī)器人和HVAC 系統(tǒng)到計(jì)算機(jī)和移動(dòng)設(shè)備，再到現(xiàn)代企業(yè)數(shù)字生態(tài)系統(tǒng)中的服務(wù)器和網(wǎng)絡(luò)硬件。

機(jī)器身份不僅僅是數(shù)字 ID 號(hào)或簡(jiǎn)單的標(biāo)識(shí)符，例如序列號(hào)或零件號(hào)。它是經(jīng)過身份驗(yàn)證的憑據(jù)的混合體，可證明機(jī)器已被授權(quán)訪問在線資源或網(wǎng)絡(luò)。

機(jī)器身份是更廣泛的數(shù)字身份基礎(chǔ)的子集，包括企業(yè)環(huán)境中的所有人員和應(yīng)用程序身份。它超越了易于識(shí)別的用例，例如驗(yàn)證通過 Wi-Fi 遠(yuǎn)程訪問網(wǎng)絡(luò)的筆記本電腦。在無人參與的系統(tǒng)之間進(jìn)行數(shù)百萬或數(shù)十億次日常通信需要機(jī)器身份，例如傳感器與工業(yè)系統(tǒng)或應(yīng)用服務(wù)器通信，生成或使用跨多個(gè)數(shù)據(jù)中心存儲(chǔ)的數(shù)據(jù)。例如，以下每一項(xiàng)都將被分配一個(gè)唯一的機(jī)器標(biāo)識(shí)：

移動(dòng)設(shè)備和智能手機(jī)

電腦和筆記本電腦

物聯(lián)網(wǎng) (IoT) 設(shè)備

Web 服務(wù)器和應(yīng)用程序服務(wù)器

自動(dòng)化工廠和倉(cāng)儲(chǔ)設(shè)施

網(wǎng)絡(luò)設(shè)備和路由器

為什么機(jī)器身份至關(guān)重要？

隨著數(shù)字化轉(zhuǎn)型計(jì)劃的擴(kuò)大，參與實(shí)現(xiàn)其效益的機(jī)器數(shù)量也在增加。處于這一趨勢(shì)中的組織需要全面的戰(zhàn)略和戰(zhàn)術(shù)執(zhí)行，以實(shí)現(xiàn)有組織的數(shù)字身份系統(tǒng)，可靠地保護(hù)、管理和驗(yàn)證機(jī)器對(duì)機(jī)器的通信。

跨云和多云環(huán)境、分布式勞動(dòng)力和創(chuàng)新連接設(shè)備的應(yīng)用程序和數(shù)據(jù)以需要強(qiáng)大的數(shù)字身份方法來抵御持續(xù)和新興威脅的方式相交。必須了解，許多這些交叉路口的特點(diǎn)是自動(dòng)化，在機(jī)器對(duì)機(jī)器通信期間沒有人工交互。安全隱患是巨大的。

機(jī)器交互必須安全且快速，以提供在全球范圍內(nèi)實(shí)現(xiàn)企業(yè)級(jí)保護(hù)所需的可靠性和可擴(kuò)展性。

但隨著已經(jīng)復(fù)雜的環(huán)境擴(kuò)展到包括制造機(jī)器人、自動(dòng)化裝配線、移動(dòng)設(shè)備、云基礎(chǔ)設(shè)施、DevOps、物聯(lián)網(wǎng)和物理設(shè)備，未能管理身份所固有的財(cái)務(wù)風(fēng)險(xiǎn)急劇增加。雖然不正確的身份管理使企業(yè)更容易受到網(wǎng)絡(luò)犯罪分子、惡意軟件和欺詐的攻擊，但它也使組織面臨與員工生產(chǎn)力、客戶體驗(yàn)問題、合規(guī)缺陷等相關(guān)的風(fēng)險(xiǎn)。

機(jī)器身份如何支持零信任

越來越多的 IT 安全專業(yè)人員正在通過采取零信任的方法來彌補(bǔ)差距。這意味著永遠(yuǎn)不會(huì)隱含地授予信任，必須不斷評(píng)估。驗(yàn)證所有數(shù)字身份，包括機(jī)器身份，對(duì)于支持這種零信任模型尤為重要。機(jī)器身份包括對(duì)網(wǎng)絡(luò)中的每個(gè)設(shè)備和進(jìn)程授予詳細(xì)的訪問控制、特權(quán)訪問控制和權(quán)限。

現(xiàn)代企業(yè)依靠公鑰基礎(chǔ)設(shè)施 (PKI) 證書作為確保身份的黃金標(biāo)準(zhǔn)。PKI 充當(dāng)零信任架構(gòu)的基礎(chǔ)組件，該架構(gòu)遵循所有最終用戶、設(shè)備和應(yīng)用程序身份的強(qiáng)大安全參數(shù)。使用數(shù)字證書及其加密密鑰對(duì)可以加強(qiáng)對(duì)機(jī)器身份的驗(yàn)證。PKI 還可以用于保護(hù)位于防火墻網(wǎng)絡(luò)架構(gòu)之外的實(shí)體之間的連接。

在這個(gè)數(shù)字化轉(zhuǎn)型的時(shí)代，零信任模型增強(qiáng)了機(jī)器身份保護(hù)，同時(shí)增加了對(duì) PKI 的整合、自動(dòng)化和現(xiàn)代方法的需求。

數(shù)字身份與密碼與 MFA

今天的 IT 安全團(tuán)隊(duì)必須能夠識(shí)別和驗(yàn)證整個(gè)工廠和企業(yè)的身份——無論這些身份屬于人類、設(shè)備、數(shù)據(jù)還是應(yīng)用程序。密碼和多因素身份驗(yàn)證 (MFA) 過去提供了一定的安全措施，但它們不再像以前那樣有效。

不良行為者越來越擅長(zhǎng)通過一系列狡猾的方法竊取身份。

在人類身份方面，許多組織已轉(zhuǎn)向 MFA，在某些情況下，還轉(zhuǎn)向基于生物特征的身份驗(yàn)證。通常被吹捧為密碼、電話和一次性密碼的安全替代方案，OATH 令牌 MFA 解決方案充滿了記錄在案的漏洞。事實(shí)證明，它們?nèi)菀资艿脚c竊取密碼一樣容易且可擴(kuò)展的高調(diào)攻擊。此外，員工使用具有 MFA 的應(yīng)用程序的努力——比記住密碼已經(jīng)具有挑戰(zhàn)性的麻煩要麻煩得多——使員工和 IT 管理員的生活變得更加復(fù)雜。

機(jī)器身份給 IT 團(tuán)隊(duì)帶來了一系列額外的問題。

如前所述，機(jī)器對(duì)機(jī)器通信的特點(diǎn)是自動(dòng)化。機(jī)器無法回答智能手機(jī)以獲得一次性密碼。在自動(dòng)化通信過程中存儲(chǔ)或傳輸密碼為漏洞打開了大門。鑒于數(shù)字業(yè)務(wù)轉(zhuǎn)型的激增，組織需要一種完全不同且更好的方法來驗(yàn)證機(jī)器身份。

與密碼和 MFA 相比，使用數(shù)字證書的數(shù)字身份消除了對(duì)可被網(wǎng)絡(luò)犯罪分子截獲的共享秘密的依賴。當(dāng)機(jī)器證明擁有私鑰時(shí)進(jìn)行身份驗(yàn)證，私鑰通常存儲(chǔ)在機(jī)器的硬件安全模塊 (HSM) 中并加以保護(hù)。然后交易由私鑰簽名并由公鑰驗(yàn)證。這個(gè)公鑰/私鑰對(duì)是由幾種健壯的密碼算法之一生成的。

與基于密碼的身份驗(yàn)證相比，此過程提供了更出色的數(shù)據(jù)保護(hù)和安全性，以防止黑客入侵，原因如下：

私鑰永遠(yuǎn)不會(huì)離開客戶端。與密碼相反，密碼很容易通過日益復(fù)雜的網(wǎng)絡(luò)釣魚攻擊有意或無意地共享。

私鑰不能在傳輸過程中被盜，因?yàn)樗肋h(yuǎn)不會(huì)被傳輸。與在 Internet 傳輸過程中可能被盜的密碼不同，私鑰永遠(yuǎn)不會(huì)被傳輸。

無法從服務(wù)器存儲(chǔ)庫(kù)中竊取私鑰。存儲(chǔ)在中央服務(wù)器存儲(chǔ)庫(kù)中的密碼可能會(huì)被盜；私鑰只有用戶設(shè)備知道，不集中存儲(chǔ)。

用戶無需記住密碼或輸入用戶名。用戶的設(shè)備只需存儲(chǔ)一個(gè)私鑰以在需要時(shí)提供，從而提供更無縫的用戶體驗(yàn)。

為什么要自動(dòng)化機(jī)器身份管理？

機(jī)器身份隨著需要機(jī)器對(duì)機(jī)器通信的進(jìn)程和設(shè)備數(shù)量的增加而增加。根據(jù)思科年度互聯(lián)網(wǎng)報(bào)告，到 2023 年，全球?qū)⒂?293 億臺(tái)聯(lián)網(wǎng)設(shè)備，高于 2018 年的 184 億臺(tái)連接。五年內(nèi)新增設(shè)備超過 100 億臺(tái)，是 2021 年全球人口的三倍多。

因此，當(dāng)今的現(xiàn)代企業(yè)在全球范圍內(nèi)保護(hù)敏感數(shù)據(jù)所需的機(jī)器身份數(shù)量正在經(jīng)歷前所未有的增長(zhǎng)。讓事情變得更具挑戰(zhàn)性的是，數(shù)字證書壽命的持續(xù)縮短意味著 IT 團(tuán)隊(duì)將難以更頻繁地更換證書并在比以往更短的時(shí)間內(nèi)管理更多身份。

雖然沒有比 PKI 提供的數(shù)字身份更強(qiáng)大、更易于使用的身份驗(yàn)證和加密解決方案，但忙碌的 IT 團(tuán)隊(duì)面臨的挑戰(zhàn)是手動(dòng)部署和管理證書非常耗時(shí)，并且可能導(dǎo)致不必要的風(fēng)險(xiǎn)。底線？手動(dòng)機(jī)器身份管理既不可持續(xù)也不可擴(kuò)展。

無論企業(yè)是為 Web 服務(wù)器部署單個(gè) SSL 證書，還是管理其所有聯(lián)網(wǎng)設(shè)備身份的數(shù)百萬個(gè)證書，證書頒發(fā)、配置和部署的端到端過程都可能需要數(shù)小時(shí)。手動(dòng)管理證書還使企業(yè)面臨被忽視的證書意外過期和所有權(quán)缺口的重大風(fēng)險(xiǎn)——丟球可能導(dǎo)致與證書相關(guān)的中斷、關(guān)鍵業(yè)務(wù)系統(tǒng)故障以及安全漏洞和攻擊。

客戶和內(nèi)部用戶依賴關(guān)鍵業(yè)務(wù)系統(tǒng)始終可用。但近年來，過期證書導(dǎo)致許多備受矚目的網(wǎng)站和服務(wù)中斷。其結(jié)果是數(shù)十億美元的收入損失、合同罰款、訴訟以及品牌聲譽(yù)受損和客戶商譽(yù)損失的無法估量的成本。

自動(dòng)化機(jī)器身份管理時(shí)要尋找什么？

對(duì)于 CIO 和 CSO 來說，自動(dòng)化機(jī)器身份管理的投資回報(bào)是顯而易見的。

IT 專業(yè)人員必須重新考慮他們的證書生命周期管理策略。特別是隨著企業(yè)越來越多地將依賴于快速變化的 DevOps 環(huán)境的服務(wù)推向市場(chǎng)，組織需要一個(gè)自動(dòng)化的解決方案，以確保在沒有人工干預(yù)的情況下正確配置和實(shí)施證書。自動(dòng)化有助于降低風(fēng)險(xiǎn)，也有助于 IT 部門控制運(yùn)營(yíng)成本并縮短產(chǎn)品和服務(wù)的上市時(shí)間。

最近，PKI 已經(jīng)發(fā)展為更加通用?；ゲ僮餍?、高正常運(yùn)行時(shí)間和治理仍然是關(guān)鍵優(yōu)勢(shì)。但是今天的 PKI 解決方案在功能上也能夠通過以下方式改進(jìn)管理和證書生命周期管理：

自動(dòng)化：完成單個(gè)任務(wù)，同時(shí)最大限度地減少手動(dòng)流程。

協(xié)調(diào)：使用自動(dòng)化來管理廣泛的任務(wù)組合。

可擴(kuò)展性：管理數(shù)百、數(shù)千甚至數(shù)百萬的證書。

加密敏捷性：快速更新加密強(qiáng)度并用量子安全證書撤銷和替換有風(fēng)險(xiǎn)的證書，以響應(yīng)新的或不斷變化的威脅。

可見性：在所有用例中通過單一窗格查看證書狀態(tài)。

鑒于使用數(shù)字證書的許多不同的機(jī)器、系統(tǒng)和應(yīng)用程序，IT 團(tuán)隊(duì)經(jīng)常發(fā)現(xiàn)自己管理著來自許多不同供應(yīng)商的不同自動(dòng)化服務(wù)。運(yùn)行多個(gè)自動(dòng)化平臺(tái)通常會(huì)導(dǎo)致效率降低。單個(gè)證書管理儀表板可跨所有用例和供應(yīng)商平臺(tái)自動(dòng)進(jìn)行發(fā)現(xiàn)、部署和生命周期管理，從而實(shí)現(xiàn)自動(dòng)化所承諾的效率。IT 團(tuán)隊(duì)仍然保持對(duì)配置定義和規(guī)則的控制，以便正確執(zhí)行自動(dòng)化步驟。

自動(dòng)化證書管理解決方案使為許多企業(yè)、企業(yè)和工業(yè)應(yīng)用程序開發(fā)和實(shí)施安全解決方案變得更加容易和快捷。

受信任的證書頒發(fā)機(jī)構(gòu) (CA) 提供數(shù)字身份管理自動(dòng)化解決方案，使企業(yè)能夠敏捷、高效并完全控制其環(huán)境中的所有證書，包括驗(yàn)證機(jī)器身份的證書。

您的 CA 應(yīng)支持通過行業(yè)領(lǐng)先的協(xié)議、API 和第三方集成自動(dòng)安裝、撤銷和續(xù)訂 SSL/TLS 和非 SSL 證書。最后，CA 消除了開源替代品可能出現(xiàn)的證書容量上限問題。

作者：Sectigo 首席合規(guī)官 Tim Callan

Tim Callan 是全球最大的商業(yè)證書頒發(fā)機(jī)構(gòu) Sectigo 的首席合規(guī)官，也是專用自動(dòng)化 PKI 解決方案的領(lǐng)導(dǎo)者，并且是流行的 PKI 和安全播客“根本原因”的共同主持人。Tim 在知名 PKI 和數(shù)字證書技術(shù)提供商（包括 VeriSign、Symantec、DigiCert 和 Comodo CA）的領(lǐng)導(dǎo)職位上擁有 20 多年的經(jīng)驗(yàn)。自 2006 年以來，他一直是一名安全博主，經(jīng)常發(fā)表技術(shù)文章。他曾在 RSA Security Expo、Search Engine Strategies、ClickZ 和 Internet Retailer Conference and Expo 等會(huì)議上發(fā)表演講。作為 CA/瀏覽器論壇的創(chuàng)始成員，Tim 在 2000 年代后期創(chuàng)建和推出擴(kuò)展驗(yàn)證 SSL 方面發(fā)揮了關(guān)鍵作用。

審核編輯 黃昊宇