Нечеловеческие идентичности (NHI) — это цифровые учетные данные, присваиваемые машинам, службам, приложениям и другим системам, которые взаимодействуют в цифровой среде. В отличие от человеческих идентичностей, которые связаны с отдельными пользователями через имена пользователей, пароли и биометрические данные, NHI представляют собой нечеловеческие сущности, которым необходим безопасный и автоматизированный доступ к сетям и данным. NHI имеют решающее значение в современных ИТ-средах, где все большее количество автоматизированных задач и процессов выполняется без участия человека.
NHI бывают разных форм, каждая из которых выполняет свою роль в автоматизированных процессах. Наиболее распространенные типы NHI включают:
Непрерывный рост автоматизации и облачных сред привел к увеличению зависимости от нечеловеческих идентичностей (NHI). Каждому контейнеру и виртуальной машине требуется собственная идентичность в виде ключа API, токена или служебной учетной записи. Хотя NHI имеют решающее значение для обеспечения бесперебойной автоматизации, они значительно увеличивают поверхность атаки. Каждые учетные данные могут стать потенциальным вектором атаки для киберпреступников, если они не защищены должным образом.
Одной из самых значительных проблем кибербезопасности являются NHI с избыточными привилегиями. Национальным институтам здравоохранения обычно предоставляется широкий доступ для выполнения различных автоматизированных задач, что часто превышает необходимое. Такой доступ редко проверяется, что облегчает киберпреступникам эксплуатацию скомпрометированного NHI, эскалацию привилегий или оставаться незамеченными при доступе к конфиденциальным данным. Эффективное управление NHI теперь является ключевой частью управления идентификацией и доступом (IAM); без детального контроля доступа, неотслеживаемые и чрезмерно привилегированные NHI представляют значительные риски безопасности.
Множество новых рисков и проблем безопасности вызываются увеличением числа NHI, начиная от чрезмерно привилегированного доступа и заканчивая слабым мониторингом в сложных средах.
NHI обычно предоставляется широкий, постоянный доступ из соображений удобства, особенно в динамичных средах DevOps и облачных средах. Однако если одна из этих идентичностей будет скомпрометирована, киберпреступники могут перемещаться по сети и получить доступ к конфиденциальным системам или данным. Скомпрометированные NHI с постоянным доступом к конфиденциальной информации могут привести к значительно большему радиусу поражения, превращая одну скомпрометированную NHI в полноценную утечку данных.
Многим организациям трудно поддерживать полный и обновленный инвентарь NHI в своих средах. Этот недостаток видимости приводит к появлению теневых идентичностей, которые представляют собой неотслеживаемые NHI, выходящие за рамки установленных мер безопасности. Без полного контроля за деятельностью NHI эти теневые идентичности могут создавать уязвимости, которые киберпреступники могут использовать для получения доступа к критически важным системам.
NHI полагаются на учетные данные, такие как API-ключи, токены и сертификаты, для аутентификации и доступа к системам, но этими учетными данными часто плохо управляют. Некоторые учетные данные могут быть жестко закодированы в репозиториях кода, редко изменяются или совместно используются несколькими службами — всё это увеличивает риск компрометации. Когда эти учетные данные становятся доступными или утекшими, они могут предоставить киберпреступникам прямой доступ к конфиденциальной информации.
Поскольку NHI часто работают в фоновом режиме, они выполняют большинство своих задач без контроля со стороны человека. Если поведение NHI не отслеживается и не регистрируется должным образом, аномальная или вредоносная активность может остаться незамеченной. Без поведенческих базовых показателей или подробных журналов аудита организации могут неэффективно выявлять скомпрометированные NHI или злоупотребление привилегиями до тех пор, пока не станет слишком поздно.
Организации должны проявлять инициативу в защите NHI, внедряя следующие лучшие практики.
Применяйте принцип наименьших привилегий (PoLP), чтобы гарантировать, что NHI имеют только минимальный доступ, необходимый для выполнения их задач. Избегайте предоставления широкого и постоянного доступа к NHI и регулярно пересматривайте разрешения, чтобы минимизировать воздействие в случае компрометации.
Регулярно меняйте API-ключи, токены, сертификаты и другие учетные данные, чтобы ограничить срок действия потенциально скомпрометированных NHI. Ротация учетных данных помогает предотвратить несанкционированный доступ от того, чтобы он остался незамеченным, и для удобства она должна быть автоматизирована, где это возможно. KeeperPAM® поддерживает автоматическую ротацию учетных данных и временно ограниченный доступ к служебным учетным записям и инфраструктуре.
Централизуйте доступ, хранение и аудит учетных данных с помощью надежной системы управления секретами. Это гарантирует, что секреты, включая ключи API и токены, зашифрованы и не раскрываются в коде или конфигурационных файлах. Решение, подобное Keeper Secrets Manager, защищает секреты и поддерживает интеграцию в конвейеры DevOps и облачные среды.
Установите автоматизированные рабочие процессы для создания, проверки и аннулирования NHI. Это помогает сократить человеческие ошибки и гарантирует, что «осиротевшие» идентичности не останутся без присмотра в вашей среде.
Отслеживайте все действия NHI, включая входы в систему, доступ к ресурсам и использование учетных данных. Установите базовые показатели поведения для быстрого обнаружения неожиданных действий и поведенческих аномалий. Платформы, такие как KeeperPAM, помогают организациям отслеживать всю активность NHI, обеспечивать доступ с нулевым доверием и защищать удаленные сеансы.
Нечеловеческие идентичности (NHI) — это широкая категория цифровых идентичностей, которые не связаны с человеком, например, учетные записи сервисов, боты и IoT-устройства. Машинные идентичности представляют собой особый тип NHI, используемый для аутентификации машин, обычно с помощью сертификатов TLS, токенов или SSH ключей. Проще говоря, все машинные идентичности являются NHI, но не все NHI являются машинными идентичностями.
Нет, нечеловеческие идентичности (NHI) не совместимы с традиционными методами многофакторной аутентификации (MFA), поскольку они предназначены для людей. Вместо этого NHI полагаются на токены и аутентификацию на основе сертификатов для подтверждения своей личности и защиты доступа. Хотя многофакторная аутентификация не используется для NHI так же, как для человеческих пользователей, обеспечение управления секретами и доступом с минимальными привилегиями служит аналогичной цели.
Да, но покрытие нечеловеческих идентичностей (NHI) варьируется в зависимости от инструмента управления идентификацией и доступом (IAM). Традиционные решения IAM ориентированы на пользователей-людей и предлагают ограниченную поддержку NHI. Однако современные решения, такие как KeeperPAM, предназначены для защиты как человеческих, так и нечеловеческих сущностей. KeeperPAM обеспечивает контроль для NHI, таких как ротация учетных данных, управление секретами и мониторинг активности, гарантируя, что учетные записи машин и служб надежно защищены.
Чтобы использовать онлайн-чат, необходимо разрешить использование cookie-файлов.