什么是非人类身份(NHI)?

非人类身份是分配给在数字环境中运行或交互的机器、服务、应用程序及其他系统的数字凭证。与通过用户名、密码和生物识别技术连接到个人用户的人类身份不同,NHI 代表需要安全和自动访问网络和数据的非人类实体。在现代 IT 环境中,NHI 至关重要,因为越来越多的自动化任务和流程无需人工操作即可完成。

非人类身份的类型

NHI 有多种形式,每种形式在自动化流程中发挥不同的作用。最常见的 NHI 类型包括:

  • 服务帐户: 由应用程序或服务使用,以便在无需人工交互的情况下访问资源或完成任务。
  • 系统帐户: 由操作系统创建,以运行后台进程。
  • 机器身份: 包括用于对设备和工作负载进行身份验证的 TLS/SSL 证书、API 密钥和访问令牌等凭证。
  • 证书: 用于验证机器或应用程序身份的凭证。
  • 机器人: 自动化代理(如聊天机器人),用于执行重复性任务并需要访问系统权限。
  • 物联网 (IoT) 设备 联网设备,如摄像头或智能家电,使用凭证与其他设备进行安全通信。
  • 自动化工具: 运行计划任务,通常使用存储的凭据。

非人类身份如何影响网络安全

随着自动化和云环境的持续发展,对非人类身份的依赖也在不断增加。每个容器和虚拟机都需要以 API 密钥令牌服务帐户的形式拥有自己的身份。尽管非人类身份对于实现无缝自动化至关重要,但它们极大地扩大了攻击面。如果保护不当,每个凭据都可能成为网络犯罪分子的潜在攻击向量

其中最为严重的网络安全问题之一是非人类身份拥有过多特权。非人类身份通常被授予广泛的访问权限以完成各种自动化任务,且往往超出了实际需求。这种访问权限很少受到审查,因此网络犯罪分子更容易利用受损的 NHI、提升权限或在访问敏感数据时不被发现。有效管理 NHI 现在已成为身份和访问管理(IAM)的关键部分;若没有细粒度的访问控制,不受监控且权限过大的 NHI 将带来显著的安全风险。

NHI 的安全风险和挑战

越来越多的 NHI 带来了新的安全风险和挑战,这些风险涵盖从权限过度到复杂环境中监控不足等方面。

超权限访问

为求方便,NHI 往往被授予广泛且长期的访问权限,尤其是在节奏紧凑的 DevOps 和云环境中。但是,如果其中一个身份被泄露,网络犯罪分子就可能在网络中进行横向渗透,从而获取敏感系统或数据的访问权限。拥有长期访问权限的受损 NHI 可能会造成更大范围的影响,从而将单一受损的 NHI 演变为一场涉及敏感信息的全面性数据泄露事件。

缺乏可见性

许多组织在维护其环境中完整且最新的非人类身份 (NHI) 清单方面面临挑战。这种可见性不足会导致“影子身份”的出现,即那些未被跟踪、超出既定安全控制范围的 NHI。如果不对 NHI 活动进行全面监督,这些影子身份可能会造成网络犯罪分子可利用的盲点,从而访问关键系统。

凭证管理不善

NHI 依赖 API 密钥、访问令牌和证书等凭证进行身份验证并访问系统,但这些凭证往往管理不当。有些凭证可能被硬编码在代码库中,很少轮换,或在多个服务之间共享——这些都会增加凭证被泄露的风险。一旦这些凭证暴露或泄露,网络犯罪分子就可能直接获取敏感信息的访问权限。

监测和记录不足

由于 NHI 通常在后台静默运行,它们能够在无人监督的情况下执行大部分任务。如果 NHI 的行为未得到妥善监控和记录,异常或恶意活动可能无法被及时发现。如果缺乏行为基线或详细的审计跟踪,组织可能无法及时有效地识别受损的 NHI 或权限滥用,往往要等到为时已晚。

管理非人类身份的最佳实践

各组织必须积极主动地通过实施以下最佳实践来确保 NHI 的安全。

实施最小权限访问

应用最小特权原则(PoLP),确保非人类身份仅拥有执行任务所需的最低权限。避免授予广泛、永久的访问权限给 NHI,并定期审查权限,以便在发生泄漏时将风险降至最低。

实施凭证轮换和过期策略

定期轮换 API 密钥、令牌、证书及其他凭证,以限制可能遭到泄露的 NHI 的有效期。凭证轮换有助于防止未经授权的访问被忽视,并应尽可能实现自动化以提高便利性。KeeperPAM® 支持服务账户和基础设施的自动凭证轮换以及有时间限制的访问。

使用机密管理

通过可靠的机密管理系统集中管理凭证的访问、存储和审计。这可确保机密(包括 API 密钥和令牌)经过加密,不会暴露在代码或配置文件中。像 Keeper Secrets Manager 这样的解决方案可以保护机密,并支持跨 DevOps 管道和云环境的集成。

自动化 NHI 生命周期治理

建立用于创建、审查和撤销 NHI 的自动化工作流程。这有助于减少人为错误,并确保环境中不会出现无人监管的孤儿身份。

监控和记录所有 NHI 活动

跟踪所有 NHI 行为,包括登录、资源访问和凭证使用情况。建立行为基线,快速检测意外活动和行为异常。像 KeeperPAM 这样的平台帮助组织监控所有 NHI 活动,实施零信任访问并确保远程会话的安全。

常见问题解答

NHIs 和机器身份之间有什么区别?

非人类身份(NHI)是一类不与人类用户相关的数字身份,包括服务账户、机器人和物联网设备等。机器身份是一种特定类型的 NHI,用于通过 TLS 证书、令牌或SSH 密钥验证机器身份。简单来说,所有机器身份都是 NHI,但并非所有 NHI 都是机器身份。

非人类身份 (NHI) 可以使用多因素身份验证 (MFA) 吗?

不,非人类身份 (NHI) 与传统的多因素身份验证 (MFA) 方法不兼容,因为它们是为人类用户设计的。相反,NHI 依靠令牌和基于证书的身份验证来验证其身份并保护访问权限。尽管在 NHI 中使用 MFA 的方式与对人类用户的使用方式不同,但强制执行机密管理和最小权限访问的目的相似。

身份和访问管理(IAM)工具是否涵盖非人类身份(NHI)?

是的,但非人类身份(NHI)的覆盖范围因身份和访问管理(IAM)工具的不同而有所变化。传统 IAM 解决方案主要关注人类用户,对 NHI 提供的支持有限。然而,像 KeeperPAM 这样的现代解决方案旨在保护人类和非人类实体。KeeperPAM 为非人类身份(NHI)提供了凭证轮换、机密管理和活动监控等控制,确保机器和服务账户得到适当的保护。

close
企业用户促销
支持
close
立即购买