Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Education Center
    2. Public Key Infrastructure (PKI)

Vad är maskinidentitetshantering?

Postat avDivyansh Dwivedi 11 minuter
Vad-är-maskinidentitetshantering
Innehållsförteckning

I en säker nätverksmiljö hänvisar maskinidentitetshantering till de system och processer för att hantera autentiseringsuppgifter som krävs för att maskiner ska kunna komma åt resurser och andra maskiner. I samband med maskinidentitetshantering omfattar en maskin ett brett spektrum av enheter som kräver en unik identitet för säkra anslutningar och kommunikation. Den inkluderar inte bara konkreta hårdvarukomponenter utan kan också inkludera kodbitar och applikationsprogrammeringsgränssnitt (API:er). Varje maskin i en modern digital företagsmiljö, från datorer och mobila enheter till servrar och nätverksinfrastruktur, har en maskinidentitet.

Ett ständigt ökande antal maskininteraktioner som är inneboende i digitaliserade processer utgör en betydande risk för företagens överlevnad utan adekvat autentiseringshantering. Med hjälp av kryptografiska nycklar och digitala certifikat, kan dessa system avgöra om interaktionen är tillförlitlig eller inte.

Denna maskinidentifiering är en digital autentiseringsuppgift eller ett "fingeravtryck" som används för att etablera förtroende, autentisera andra maskiner och kryptera kommunikation. Oavsett antalet identiteter som är inblandade eller komplexiteten i företagsnätverket är det viktigt att hela maskinidentitetens livscykler hanteras effektivt, vilket säkerställer att åtkomst endast tillåts legitima användare eller maskiner.

Maskinidentiteter måste valideras för att implementera en Zero Trust säkerhetsmodell baserat på konceptet "Lita nej, verifiera alltid". Public Key Infrastructure (PKI) Certifikat och kryptografiska nyckelpar kan användas för att stärka verifiering och säkra anslutningar mellan enheter utanför en brandväggsbeskyddad nätverksarkitektur.

Vad är maskinidentitet?

Generellt representeras användaridentiteten av användarnamn och lösenord. När en användare loggar in i en applikation anger de användarnamn och lösenord, applikationen kontrollerar användarnamnet och lösenordet i databasen, och om inloggningsuppgifterna matchar autentiseras användaren och kan komma åt applikationen.

På samma sätt måste maskiner autentiseras för säker kommunikation med andra maskiner. En maskinidentifiering är mycket mer än ett digitalt ID-nummer eller en enkel identifierare som ett serienummer eller artikelnummer. Det är en samling autentiserade inloggningsuppgifter som bekräftar att ett system eller en användare kan komma åt onlinetjänster eller ett nätverk. En maskin kan inte ange ett användarnamn och lösenord. Istället använder de en uppsättning inloggningsuppgifter som är bättre lämpade för mycket automatiserade och länkade inställningar. Maskiner har digitala certifikat och nycklar för att fastställa sin identitet.

För att säkra nätverkskommunikation kontrollerar och autentiserar alla internetprotokoll (HTTPS, SSH, FTP och så vidare) maskinidentiteter.

Maskinidentitetens funktion

För att förstå hur maskinidentitet fungerar, låt oss titta på den vanliga maskin-till-maskin-kommunikationen mellan server och klient.

När en klient försöker upprätta en anslutning till en webbserver, tillhandahåller servern sitt digitala certifikat när den mottager anslutningsbegäran. Därefter verifierar klienten det digitala certifikatet (SSL/TLS-certifikat) och verifierar serverns identitet. Vid hantering av känsliga applikationer kan servern också begära att klienten autentiserar sin identitet genom att dela sitt certifikat. Efter autentisering utbyter båda nycklar för kryptering och hashing, och en säker session upprättas.

mim2

Maskinidentitetsförebyggare

Eftersom maskinerna inte kan ange användarnamn och lösenord använder de inloggningsuppgifter som är bättre lämpade för mycket automatiserade och länkade inställningar. Istället används digitala certifikat och nycklar för att fastställa maskinidentiteter. Å andra sidan varierar certifikat- och nyckeltyper beroende på maskin, kommunikationsprotokoll och användning.

Följande är några vanligt förekommande certifikat och nycklar som utgör maskinidentiteten:

  • SSH-nycklar och certifikat

    Användare, vanligtvis systemadministratörer, använder SSH-nycklar för att säkra privilegierad åtkomst till kritiska system. Eftersom SSH-nycklar används för att auktorisera åtkomst till viktiga IT-system är SSH-protokollet säkrare än TLS/SSL. Även om det inte är vanligt att använda SSH-certifikat för autentisering, rekommenderas det eftersom det eliminerar den manuella, osäkra processen för nyckelgodkännande och distribution.

  • Kodsigneringscertifikat

    Kodsignering Certifikat säkerställer att skript, körbara filer och programvaruversioner är äkta och förhindrar att de manipuleras. Det bygger förtroende hos användarna.

  • Kryptografiska nycklar

    Kryptografiska nycklar, särskilt symmetriska nycklar, används för att skydda data i vila, data under överföring och kryptera kreditkortsdata och annan PII-data (personligt identifierbar information). Symmetriska nycklar är dock mindre säkra men snabbare och effektivare än kryptografi med offentlig nyckel.

  • X.509-certifikat

    X.509-certifikat är de mest använda maskinidentifieringscertifikaten och ryggraden i Public Key Infrastructure (PKI). Server-klientautentisering via HTTPS-protokollet (baserat på TLS/SSL-protokollet) samt digitalt signerade offline-applikationer använder dessa certifikat för autentisering.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Vikten av maskinidentitetshantering

Maskinidentitetshantering är en bred term som omfattar olika tekniker som för närvarande huvudsakligen är isolerade, som SSH-nyckelhantering, X.509 CertifikathanteringEtc.

  • För att skydda maskinidentitet

    Anta att någon får tag på din identitet på något sätt. De kan komma åt din personliga information som dina kreditkortsuppgifter, konton på sociala medier etc. De kan göra stora transaktioner från ditt konto och utge sig för att vara sin identitet. Något liknande kan hända om någon stjäl maskinidentiteter, och de kan göra allt detta i stor skala eftersom maskinen kan ha register över tusentals individer.
    Angriparen får tillgång till det djupa nätverket när identiteten på en viktig nätverksenhet, såsom en webbserver eller en lastbalanserare, äventyras. Då kan de få administratörsbehörighet och injicera skadlig kod i kritiska enheter, vilket kan orsaka att de inte fungerar eller till och med stänger av system. Detta kan leda till allvarliga skador för både kunder och användare i organisationen.

  • Håll jämna steg med den explosionsartade tillväxten av maskiner

    Antalet maskiner i världen överstiger antalet människor som använder dem. Det stora antalet maskinidentiteter som måste säkras, inklusive mobila, moln- och IoT-enheter, gör det betydligt svårare att hålla maskinidentiteter säkra.

  • Spridningen av säkra molnbaserade maskiner

    Den snabba utvecklingen av molntjänster kräver en snabb bedömning av maskiners tillförlitlighet, inklusive molnarbetsbelastningar, virtuella maskiner, containrar och mikrotjänster. På grund av den flytande naturen hos deras interaktioner kan deras identiteter äventyras.

  • Skydda identiteten för anslutna enheter

    Det finns ett antal enheter vars identiteter är anslutna till internet, som robotar, medicintekniska produkter, sensorer etc. Många av dessa enheter använder krypterade kanaler som styrs av maskinidentiteter för att överföra och lagra viktig data.

Vilka faktorer ledde till maskinidentitetsstöld?

Följande är några orsaker som orsakar kompromisser i maskinidentiteten:

  • CA-kompromiss

    Certifikatutfärdare (CA) komprometteras när angripare stjäl deras privata nyckel, som används för att signera certifikat som utfärdats till företag. Angripare kan använda dessa stulna privata nycklar för att signera certifikat för skadliga applikationer och lura webbläsare att tro att de är pålitliga. Dessa certifikat, så kallade oseriösa certifikat, används ofta av angripare för att sprida nätfiske och man-in-the-middle-attacker. Och denna mellanliggande rot-CA kan missbruka sin auktoritet och signera certifikat för bedrägliga servrar och applikationer.

  • Avbrott i certifikat

    Utfärdade certifikat har en giltighetsperiod. Om ett certifikat inte förnyas innan det löper ut kan det resultera i ett certifikatrelaterat avbrott i det system det stöder. Tills ett nytt certifikat har installerats kommer det oplanerade avbrottet och den tillhörande driftstoppstiden att kvarstå. Certifikatrelaterade avbrott är svåra att identifiera utan att veta exakt var ett certifikat är installerat och vem som kontrollerar det systemet.

  • Operationell ineffektivitet

    Varje digitalt certifikat som fungerar som en maskinidentifiering tar tid per år för organisationerna att hantera. Med tusentals maskinidentiteter kan omkostnaderna snabbt öka. Och administrationen av dessa identiteter kan bli mer komplicerad när administratören inte är bekant med certifikat eller förtroendelagrar. Och den tid som krävs kommer att öka snabbt om maskinidentitetsoperationerna inte löper smidigt, särskilt vid ett intrång eller avbrott.

  • Okända återkallade certifikat

    Ibland återkallas digitala certifikat före sin giltighetstid på grund av att deras privata nyckel har komprometterats eller att applikationen som certifikatet är kopplat till inte längre fungerar. Ibland kan certifikat inte återkallas av certifikatutfärdaren (CA) eller certifieringsåterkallningslistan (CRL) som inte uppdateras i tid, vilket leder till att ett återkallat certifikat erkänns som giltigt. Till exempel kan angripare använda ett föräldralöst certifikat för nätfiskeattacker om en applikation har tagits bort, men dess certifikat inte har återkallats i tid.

Utmaningar inom maskinidentitetshantering

Följande är några utmaningar som gör maskinidentitetshantering avgörande:

  • Sikt

    När det finns ett stort antal certifikat och nycklar i en organisation är det svårt att spåra dem. Många organisationer vet inte ens hur många certifikat och nycklar de har, deras giltighetstid och vilken policy de följer.

  • Bolagsstyrning

    Nästa problem är bristande ägarskap och kontroll. I organisationer, SSH-nycklar och SSL/TLS-certifikat används av olika team. Men det finns ingen konsekvent policy för hur de utfärdas, vem som har åtkomst till dem, rotation av nycklar, förnyelse av certifikat etc.

  • Skydd

    Digitala certifikat till maskinidentiteterna måste tillhandahållas av en betrodd certifikatutfärdare (CA). Privata nycklar måste lagras i Hårdvarusäkerhetsmodul (HSM) och skyddas från kompromisser. Maskinidentiteter kan inte litas på om inte dessa skyddsåtgärder finns på plats.

  • Automation

    Manuell hantering av certifikatets livscykel är inte bara tidskrävande. Det är också felbenäget och mycket ineffektivt. Att manuellt utfärda, återkalla, förnya och granska certifikat kan leda till driftstopp och avbrott.

Bästa praxis för maskinidentitetshantering

  • Centralisera hanteringen

    Det bör finnas en centraliserad maskinidentitet som hjälper till att effektivisera implementeringen av policyer på olika enheter. Certifikat kan också grupperas baserat på flera parametrar som utgångsdatum, kritiskhet etc., och implementera gruppolicyer, vilket gör det enkelt att hantera dem. Det bör finnas korrekt policyhantering som förhindrar obehörig åtkomst och gör det möjligt för maskinidentiteter att göra sitt jobb säkert.

  • Automation

    Maskinidentitetshanteringsprocessen kan automatiseras, vilket hjälper till att definiera en åtgärd för en enskild maskinidentitet såväl som för en hel grupp. Alla åtgärder kan definieras i förväg och kan utlösas baserat på specifika villkor. Registrering, provisionering, förnyelse, återkallelse av certifikat etc. kan automatiseras, vilket hjälper till att hålla maskinidentiteter uppdaterade och effektivt eliminera avbrott. Kort sagt bör hela maskinidentitetens livscykel automatiseras, inklusive hantering av certifikat och nycklar, vilket förhindrar fel som kan uppstå vid manuella åtgärder.

  • lagring

    Alla maskinidentiteter som SSH-nycklar och digitala certifikat måste lagras i en centraliserad och säker miljö. Identiteter kan lagras i Hardware Security Module (HSM), FIPS 140-2 Nivå 3 kompatibel. HSM skyddar certifikatet och nycklarna även om användarnätverket komprometteras.

  • SSH-nyckelrotation

    Organisationer måste rotera sina SSH-nycklar efter en viss period för att förhindra att samma SSH-nycklar används under en längre tid genom att nya nycklar genereras. Nyckelrotation bidrar till att stärka SSH-nycklarnas säkerhet och skyddar mot risker som nyckelspridning. Nyckelrotationsprocessen bör vara automatisk snarare än manuell så att nycklarna bör roteras regelbundet.

  • Tillämpa starka säkerhetspolicyer

    Organisationer måste upprätta och tillämpa starka säkerhetspolicyer för att hålla sina maskinidentiteter säkra och säkerställa att varje maskinidentitet följer gällande myndighetsföreskrifter. Genom att implementera starka säkerhetspolicyer kan alla aspekter av maskinidentiteten övervakas.

  • Granskning av maskinidentiteter

    Det bör regelbundet granskas maskinidentiteter, vilket hjälper till att hitta sårbarheter som utgångna certifikat, svaga lösenord etc. och förhindra avbrott. Granskning kan också automatiseras med hjälp av tredjepartsverktyg. Regelbunden granskning hjälper en organisation att förbättra sina hanteringsstrategier.

Komponenter i maskinidentitetslivscykeln

Maskinidentitetens livscykel omfattar olika komponenter, som var och en spelar en avgörande roll i en maskinidentitets resa från skapande till pensionering. Här är de viktigaste komponenterna i maskinidentitetens livscykel:

  • Generation/Skapelse

    Den inledande fasen involverar generering eller skapande av en maskinidentitet, såsom digitala certifikat eller API-nycklar. Organisationer erhåller digitala certifikat från en certifikatutfärdare (CA).

  • Lager

    När certifikat har utfärdats är det avgörande att dokumentera viktiga detaljer som giltighetsperiod, typ, position i kedjan och nätverksplats. Denna information blir viktig när certifikaten närmar sig sina utgångsdatum.

  • Distribution/Utplacering

    Processen att distribuera maskinidentiteten till avsedda system, enheter eller applikationer för att möjliggöra säker kommunikation.

  • Övervakning/Hantering

    Löpande tillsyns- och hanteringsaktiviteter för att säkerställa korrekt funktion, säkerhet och efterlevnad av maskinidentiteter.

  • Förnyelse/Rotation

    Processen att uppdatera eller förnya maskinidentiteten för att upprätthålla säkerheten och förhindra att giltighetstiden upphör.

  • Återkallelse/Ogiltigförklaring

    Avsiktlig uppsägning av en maskinidentitet före dess utgångsdatum, ofta på grund av säkerhetsproblem eller missbruk.

Slutsats

I dagens digitala miljöer är enhetshantering avgörande för att säkerställa säker kommunikation och förhindra identitetsstöld. Encryption Consulting erbjuder heltäckande lösningar för att hantera utmaningarna med enhetsidentitetshantering, inklusive synlighet, styrning, säkerhet och automatisering..

Utforska

Fler ämnen