如今，全面的數(shù)字化轉(zhuǎn)型計劃正在流程自動化、制造和物聯(lián)網(wǎng) (IoT) 等領(lǐng)域?qū)崿F(xiàn)組織改進(jìn)。然而，現(xiàn)代工廠、工業(yè)設(shè)施和企業(yè)中連接設(shè)備和機(jī)器的指數(shù)級增長暴露了機(jī)器對機(jī)器通信中的關(guān)鍵網(wǎng)絡(luò)安全漏洞。必須對機(jī)器身份進(jìn)行適當(dāng)?shù)纳矸蒡炞C和管理，以確保僅向合法用戶或機(jī)器授予訪問權(quán)限，無論涉及的身份數(shù)量或設(shè)施網(wǎng)絡(luò)的復(fù)雜性如何。

什么是機(jī)器身份管理？

機(jī)器身份管理包括用于管理機(jī)器在安全網(wǎng)絡(luò)環(huán)境中或在線訪問資源和其他機(jī)器所需的憑證認(rèn)證的系統(tǒng)和過程。本質(zhì)上，該機(jī)器身份是用于建立信任、驗證其他機(jī)器和加密通信的數(shù)字憑證或“指紋”。

如果沒有適當(dāng)?shù)纳矸蒡炞C管理，數(shù)字化流程固有的不斷增加的機(jī)器交互數(shù)量會對業(yè)務(wù)連續(xù)性和惡意攻擊的潛在破壞構(gòu)成重大風(fēng)險。唯一身份使這些過程能夠使用加密密鑰和數(shù)字證書確定交互是否值得信賴。每臺機(jī)器都有一個機(jī)器標(biāo)識，從工廠的機(jī)器人和?HVAC 系統(tǒng)?到計算機(jī)和移動設(shè)備，再到現(xiàn)代企業(yè)數(shù)字生態(tài)系統(tǒng)中的服務(wù)器和網(wǎng)絡(luò)硬件。

機(jī)器身份不僅僅是數(shù)字 ID 號或簡單的標(biāo)識符，例如序列號或零件號。它是經(jīng)過身份驗證的憑據(jù)的混合體，可證明機(jī)器已被授權(quán)訪問在線資源或網(wǎng)絡(luò)。

機(jī)器身份是更廣泛的數(shù)字身份基礎(chǔ)的子集，包括企業(yè)環(huán)境中的所有人員和應(yīng)用程序身份。它超越了易于識別的用例，例如驗證通過 Wi-Fi 遠(yuǎn)程訪問網(wǎng)絡(luò)的筆記本電腦。在無人參與的系統(tǒng)之間進(jìn)行數(shù)百萬或數(shù)十億次日常通信需要機(jī)器身份，例如傳感器與工業(yè)系統(tǒng)或應(yīng)用服務(wù)器通信，生成或使用跨多個數(shù)據(jù)中心存儲的數(shù)據(jù)。例如，以下每一項都將被分配一個唯一的機(jī)器標(biāo)識：

移動設(shè)備和智能手機(jī)

電腦和筆記本電腦

物聯(lián)網(wǎng) (IoT) 設(shè)備

Web 服務(wù)器和應(yīng)用程序服務(wù)器

自動化工廠和倉儲設(shè)施

網(wǎng)絡(luò)設(shè)備和路由器

為什么機(jī)器身份至關(guān)重要？

隨著數(shù)字化轉(zhuǎn)型計劃的擴(kuò)大，參與實現(xiàn)其效益的機(jī)器數(shù)量也在增加。處于這一趨勢中的組織需要全面的戰(zhàn)略和戰(zhàn)術(shù)執(zhí)行，以實現(xiàn)一個有組織的數(shù)字身份系統(tǒng)，可靠地保護(hù)、管理和驗證機(jī)器對機(jī)器的通信。

跨云和多云環(huán)境、分布式勞動力和創(chuàng)新連接設(shè)備的應(yīng)用程序和數(shù)據(jù)以需要強(qiáng)大的數(shù)字身份方法來抵御持續(xù)和新興威脅的方式相交。必須了解，許多這些交叉路口的特點是自動化，在機(jī)器對機(jī)器通信期間沒有人工交互。安全隱患是巨大的。

機(jī)器交互必須安全且快速，以提供在全球范圍內(nèi)實現(xiàn)企業(yè)級保護(hù)所需的可靠性和可擴(kuò)展性。

但隨著已經(jīng)復(fù)雜的環(huán)境擴(kuò)展到包括制造機(jī)器人、自動化裝配線、移動設(shè)備、云基礎(chǔ)設(shè)施、DevOps、物聯(lián)網(wǎng)和物理設(shè)備，未能管理身份所固有的財務(wù)風(fēng)險急劇增加。雖然不正確的身份管理使企業(yè)更容易受到網(wǎng)絡(luò)犯罪分子、惡意軟件和欺詐的攻擊，但它也使組織面臨與員工生產(chǎn)力、客戶體驗問題、合規(guī)不足等相關(guān)的風(fēng)險。

機(jī)器身份如何支持零信任

越來越多的 IT 安全專業(yè)人員正在通過采取零信任的方法來彌補(bǔ)差距。這意味著永遠(yuǎn)不會隱含地授予信任，必須不斷評估。驗證所有數(shù)字身份，包括機(jī)器身份，對于支持這種零信任模型尤為重要。機(jī)器身份包括對網(wǎng)絡(luò)中的每個設(shè)備和進(jìn)程授予詳細(xì)的訪問控制、特權(quán)訪問控制和權(quán)限。

現(xiàn)代企業(yè)依靠公鑰基礎(chǔ)設(shè)施 (PKI) 證書作為確保身份的黃金標(biāo)準(zhǔn)。PKI 充當(dāng)零信任架構(gòu)的基礎(chǔ)組件，該架構(gòu)遵循所有最終用戶、設(shè)備和應(yīng)用程序身份的強(qiáng)大安全參數(shù)。使用數(shù)字證書及其加密密鑰對可以加強(qiáng)對機(jī)器身份的驗證。PKI 還可以用于保護(hù)位于防火墻網(wǎng)絡(luò)架構(gòu)之外的實體之間的連接。

在這個數(shù)字化轉(zhuǎn)型的時代，零信任模型增強(qiáng)了機(jī)器身份保護(hù)，同時增加了對 PKI 的整合、自動化和現(xiàn)代方法的需求。

數(shù)字身份與密碼與 MFA

今天的 IT 安全團(tuán)隊必須能夠識別和驗證整個工廠和企業(yè)的身份——無論這些身份屬于人類、設(shè)備、數(shù)據(jù)還是應(yīng)用程序。密碼和多因素身份驗證 (MFA) 過去提供了一定的安全措施，但它們不再像以前那樣有效。

不良行為者越來越擅長通過一系列狡猾的方法竊取身份。（圖片：Sectigo）

在人類身份方面，許多組織已轉(zhuǎn)向 MFA，在某些情況下，還轉(zhuǎn)向基于生物特征的身份驗證。通常被吹捧為密碼、電話和一次性密碼的安全替代方案，OATH 令牌 MFA 解決方案充滿了記錄在案的漏洞。事實證明，它們?nèi)菀资艿脚c竊取密碼一樣容易且可擴(kuò)展的高調(diào)攻擊。此外，員工使用具有 MFA 的應(yīng)用程序的努力——比記住密碼已經(jīng)具有挑戰(zhàn)性的麻煩要麻煩得多——使員工和 IT 管理員的生活變得更加復(fù)雜。

機(jī)器身份給 IT 團(tuán)隊帶來了一系列額外的問題。

如前所述，機(jī)器對機(jī)器通信的特點是自動化。機(jī)器無法回答智能手機(jī)以獲得一次性密碼。在自動化通信過程中存儲或傳輸密碼為漏洞打開了大門。鑒于數(shù)字業(yè)務(wù)轉(zhuǎn)型的激增，組織需要一種完全不同且更好的方法來驗證機(jī)器身份。

與密碼和 MFA 相比，使用數(shù)字證書的數(shù)字身份消除了對可被網(wǎng)絡(luò)犯罪分子截獲的共享秘密的依賴。當(dāng)機(jī)器證明擁有私鑰時進(jìn)行身份驗證，私鑰通常存儲在機(jī)器的硬件安全模塊 (HSM) 中并加以保護(hù)。然后交易由私鑰簽名并由公鑰驗證。這個公鑰/私鑰對是由幾種健壯的密碼算法之一生成的。

與基于密碼的身份驗證相比，此過程提供了更出色的數(shù)據(jù)保護(hù)和安全性，以防止黑客入侵，原因如下：

私鑰永遠(yuǎn)不會離開客戶端。?與密碼相反，密碼很容易通過日益復(fù)雜的網(wǎng)絡(luò)釣魚攻擊有意或無意地共享。

私鑰不能在傳輸過程中被盜，因為它永遠(yuǎn)不會被傳輸。?與在 Internet 傳輸過程中可能被盜的密碼不同，私鑰永遠(yuǎn)不會被傳輸。

無法從服務(wù)器存儲庫中竊取私鑰。?存儲在中央服務(wù)器存儲庫中的密碼可能會被盜；私鑰只有用戶設(shè)備知道，不集中存儲。

用戶無需記住密碼或輸入用戶名。?用戶的設(shè)備只需存儲一個私鑰以在需要時提供，從而提供更無縫的用戶體驗。

為什么要自動化機(jī)器身份管理？

機(jī)器身份隨著需要機(jī)器對機(jī)器通信的進(jìn)程和設(shè)備數(shù)量的增加而增加。根據(jù)?思科年度互聯(lián)網(wǎng)報告，到 2023 年，全球?qū)⒂?293 億臺聯(lián)網(wǎng)設(shè)備，高于 2018 年的 184 億臺連接。五年內(nèi)新增設(shè)備超過 100 億臺，是 2021 年全球人口的三倍多。

因此，當(dāng)今的現(xiàn)代企業(yè)在全球范圍內(nèi)保護(hù)敏感數(shù)據(jù)所需的機(jī)器身份數(shù)量正在經(jīng)歷前所未有的增長。讓事情變得更具挑戰(zhàn)性的是，數(shù)字證書生命周期的持續(xù)縮短意味著 IT 團(tuán)隊將難以更頻繁地更換證書并在比以往更短的時間內(nèi)管理更多身份。

雖然沒有比 PKI 提供的數(shù)字身份更強(qiáng)大、更易于使用的身份驗證和加密解決方案，但忙碌的 IT 團(tuán)隊面臨的挑戰(zhàn)是手動部署和管理證書非常耗時，并且可能導(dǎo)致不必要的風(fēng)險。底線？手動機(jī)器身份管理既不可持續(xù)也不可擴(kuò)展。

無論企業(yè)是為 Web 服務(wù)器部署單個 SSL 證書，還是管理其所有聯(lián)網(wǎng)設(shè)備身份的數(shù)百萬個證書，證書頒發(fā)、配置和部署的端到端過程都可能需要數(shù)小時。手動管理證書還使企業(yè)面臨被忽視的證書意外過期和所有權(quán)缺口的巨大風(fēng)險——丟球可能導(dǎo)致與證書相關(guān)的中斷、關(guān)鍵業(yè)務(wù)系統(tǒng)故障以及安全漏洞和攻擊。

客戶和內(nèi)部用戶依賴關(guān)鍵業(yè)務(wù)系統(tǒng)始終可用。但近年來，過期證書導(dǎo)致許多備受矚目的網(wǎng)站和服務(wù)中斷。其結(jié)果是數(shù)十億美元的收入損失、合同罰款、訴訟以及品牌聲譽(yù)受損和客戶商譽(yù)損失的無法估量的成本。

自動化機(jī)器身份管理時要尋找什么？

對于 CIO 和 CSO 來說，自動化機(jī)器身份管理的投資回報是顯而易見的。

IT 專業(yè)人員必須重新考慮他們的證書生命周期管理策略。尤其是隨著企業(yè)越來越多地將依賴于快速變化的 DevOps 環(huán)境的服務(wù)推向市場，組織需要一種自動化的解決方案，以確保在沒有人工干預(yù)的情況下正確配置和實施證書。自動化有助于降低風(fēng)險，也有助于 IT 部門控制運營成本并縮短產(chǎn)品和服務(wù)的上市時間。

最近，PKI 已經(jīng)發(fā)展為更加通用。互操作性、高正常運行時間和治理仍然是關(guān)鍵優(yōu)勢。但是今天的 PKI 解決方案在功能上也能夠通過以下方式改進(jìn)管理和證書生命周期管理：

自動化：?完成單個任務(wù)，同時最大限度地減少手動流程。

協(xié)調(diào)：?使用自動化來管理廣泛的任務(wù)組合。

可擴(kuò)展性：?管理數(shù)百、數(shù)千甚至數(shù)百萬的證書。

加密敏捷性：快速?更新加密強(qiáng)度并用量子安全證書撤銷和替換有風(fēng)險的證書，以響應(yīng)新的或不斷變化的威脅。

可見性：?在所有用例中通過單一窗格查看證書狀態(tài)。

鑒于使用數(shù)字證書的許多不同的機(jī)器、系統(tǒng)和應(yīng)用程序，IT 團(tuán)隊經(jīng)常發(fā)現(xiàn)自己管理著來自許多不同供應(yīng)商的不同自動化服務(wù)。運行多個自動化平臺通常會導(dǎo)致效率降低。單個證書管理儀表板可跨所有用例和供應(yīng)商平臺自動執(zhí)行發(fā)現(xiàn)、部署和生命周期管理，從而實現(xiàn)自動化所承諾的效率。IT 團(tuán)隊仍然保持對配置定義和規(guī)則的控制，以便正確執(zhí)行自動化步驟。

自動化證書管理解決方案使為許多企業(yè)、企業(yè)和工業(yè)應(yīng)用程序開發(fā)和實施安全解決方案變得更加容易和快捷。（圖片：Sectigo）

受信任的證書頒發(fā)機(jī)構(gòu) (CA) 提供?數(shù)字身份管理自動化解決方案?，使企業(yè)能夠敏捷、高效并完全控制其環(huán)境中的所有證書，包括驗證機(jī)器身份的證書。

您的 CA 應(yīng)支持通過行業(yè)領(lǐng)先的協(xié)議、API 和第三方集成自動安裝、撤銷和續(xù)訂 SSL/TLS 和非 SSL 證書。最后，CA 消除了開源替代品可能出現(xiàn)的證書容量上限問題。

關(guān)于作者

Tim Callan，全球最大的商業(yè)證書頒發(fā)機(jī)構(gòu) Sectigo 的首席合規(guī)官，專門構(gòu)建的自動化 PKI 解決方案的領(lǐng)導(dǎo)者，并共同主持了流行的 PKI 和安全播客“根本原因”。Tim 在知名 PKI 和數(shù)字證書技術(shù)提供商（包括 VeriSign、Symantec、DigiCert 和 Comodo CA）的領(lǐng)導(dǎo)職位上擁有 20 多年的經(jīng)驗。自 2006 年以來，他一直是一名安全博主，經(jīng)常發(fā)表技術(shù)文章。他曾在 RSA Security Expo、Search Engine Strategies、ClickZ 和 Internet Retailer Conference and Expo 等會議上發(fā)表演講。作為 CA/瀏覽器論壇的創(chuàng)始成員，Tim 在 2000 年代后期創(chuàng)建和推出擴(kuò)展驗證 SSL 方面發(fā)揮了關(guān)鍵作用。

審核編輯 黃昊宇