分类: 网络与安全
2024-09-06 15:09:44
在DevSecOps和工程实践中,“机密”通常指的是数字凭证,例如用户名、密码、口令、认证令牌、SSH密钥、SSL/TLS证书以及应用程序和API密钥。
通常,企业会根据其内部流程和IT方向处理各种各样的机密。以下是常见的企业 IT 实践中涉及的机密类型的主要示例。
企业中机密的生命周期从其创建开始,其中密码、API 密钥和证书等机密由用户生成或创建。然后,这些机密将安全地存储在受保护的环境中,例如机密管理系统或加密的保管库。在整个生命周期中,将审核机密的访问和使用,以检测和响应任何可疑活动,当一个机密不再需要时,将删除该机密,以防止未经授权的恢复并防止长期特权。
机密管理是指对业务关键型凭证(统称为机密)的安全存储、管理和受限访问,用于对企业流程、工作流、服务和应用程序进行身份验证。
随着组织的发展和规模,机密信息管理成为其 IT、DevOps 和工程团队的一项不可妥协的需求。这是因为代码库和流程的扩展性质,导致各种应用程序、微服务、开发人员和 RPA 工具、容器和编排工作流以及 API 中的机密信息激增。
凭证通常以纯文本格式存储在文件和脚本中,并且通常在 CI/CD 管道、自动化流程和工程工作流程中涉及的多个人之间共享。在没有适当规划或通知的情况下更改这些凭证可能会导致多个关键流程的级联失败。
此外,如果这些凭证在无意中暴露,它们可能被恶意行为者利用来破坏组织的重要信息系统。因此,实施安全且定义明确的程序来管理和保护这些凭证以降低未经授权访问或滥用的风险至关重要。
但是,通过适当的机密管理解决方案,企业团队可以通过将凭证存储在加密的数字保险库中来避免以纯文本格式嵌入凭证,该数字保险库提供了从中央控制台安全地获取、轮换、跟踪和管理机密的选项。
以下是与机密管理相关的一些常见风险和注意事项:
随着企业流程和工作流程的数量和复杂性不断增加,IT 团队必须采用完善的机密管理策略,其中包括定期扫描、轮换和实时监控分布在整个组织中的机密。
如上所述,机密的硬编码既是一个繁琐的过程,也是一个糟糕的安全实践。大多数工具都旨在管理特定应用程序或平台(Kubernetes、Docker、Jenkins 等)或其下的子进程的机密。虽然应用程序密码管理工具多年来越来越受欢迎,但大多数工具只提供一个基本的保险库来获取和存储机密,除此之外没有其他功能。
随着合规性成为各行各业不可避免的要求,机密管理并不仅仅局限于将机密存储在保险库中,同样重要的是定期轮换它们,监控它们的使用情况,并审计由这些机密验证的用户活动和流程,以有效和普遍地符合行业标准。
机密管理是现代特权访问管理(PAM)工具的一个不可或缺的模块,它不仅具有机密保管功能,还提供精细的访问治理控制,以控制谁有权访问这些机密的权限。PAM 工具还提供安全的应用程序到应用程序密码管理(AAPM)控制,用于验证分布在企业中的应用程序、端点、非人工帐户、进程和服务。
组织使用机密管理工具来安全地存储、管理和在用户之间共享机密,使用这些工具很重要,因为它们可以降低数据泄露、未经请求的常设特权的风险,并有助于消除特权蔓延。通常,机密管理工具内置了一个保险库,可以加密格式存储机密,这是一种安全的共享机制,允许管理员在不泄露凭证的情况下与特权用户共享机密。
PAM360,提供了DevSecOps CI/CD 解决方案和 RPA 工具集成,以确保应用程序凭据的安全管理,此集成允许进程和应用程序自动从 PAM360 的保险库中检索凭据。管理员还可以执行敏感操作,例如访问预置、定期密码更改、精细控制和审计,所有这些都不会中断内部工作流。
