什么是机密管理？

• IAM 词汇表
• 什么是机密管理？

机密管理是组织、管理和保护 IT 基础设施机密的过程。机密管理程序是一种安全的存储系统，是 IT 基础设施中使用的特权凭据、API 密钥和其他高度敏感信息的单一真实来源。

继续阅读以了解有关机密管理的更多信息，以及您可以采取哪些措施来保护您公司的数据环境。

什么是机密？

在 IT 数据环境中，机密是非人类特权凭据，通常是系统和应用程序用于身份验证或作为加密算法输入的凭据。机密可解锁包含高度敏感信息和特权系统的应用、服务和 IT 资源。

常见的机密类型包括：

• 非人类登录凭据
• 数据库连接字符串
• 加密密钥
• 云服务访问凭据
• 应用程序编程接口 (API) 密钥
• 访问令牌
• SSH（安全外壳）密钥

为什么机密管理很重要？

机密管理是一种网络安全最佳实践，用于持续强制非人类身份验证凭据的安全策略，确保只有经过身份验证和授权的实体才能访问资源。

随着组织的发展，IT 和 DevOps 团队会遇到一个称为“机密扩散”的问题，即基础设施机密分散在多个地点，其中不同的部门、团队甚至团队成员独立管理其控制的机密。同时，IT 管理员无法了解、审核和提醒这些机密的使用。

机密管理最佳实践

由于机密数量如此之多 – SSH 密钥本身就能达到数千个，因此必须使用 Keeper Secrets Manager 之类的机密管理解决方案。根据 Ponemon Institute《2021 年全球加密趋势研究》显示，28% 的组织使用机密管理解决方案来保护机密，33% 的组织计划在下一年部署使用机密管理解决方案。

但是，技术工具只能做这么多！您可以将机密管理工具的使用与以下最佳实践相结合：

建立适当的访问控制

在使用机密管理解决方案集中和保护您的机密后，下一步是确保只有经过授权的人员和系统才能访问它们。这可通过基于角色的访问控制 (RBAC) 结合特权访问管理 (PAM) 和最低特权访问实现。

轮换机密并使用即时访问

许多机密（例如密钥和证书）需定期轮换，通常每 30 到 90 天轮换一次。Keeper Secrets Manager 之类的工具可以为您自动执行这个过程。

除了机密轮换外，还应尽可能使用即时访问。这允许人类用户和应用程序在“需要知道”的基础上于指定时间内访问特权系统。这是一种故障防护措施，可防范特权凭据被泄露。

区分机密和标识符

标识符是身份管理系统或其他实体如何引用数字身份的方式。用户名和电子邮件地址是标识符的常见示例。标识符通常在组织内部甚至外部自由共享。

相反，机密为高度保密。如果机密被泄露，威胁行为者可以使用它来访问高特权系统，组织就可能会遭受重大甚至灾难性的损失。