SSL/TLS Zertifikate, die von vertrauenswürdigen öffentlichen oder privaten Zertifizierungsstellen (CAs) ausgestellt wurden, werden zur Authentifizierung einer einzelnen Domäne in öffentlich zugänglichen Websites verwendet. Organisationen mit einer Handvoll öffentlicher Domains und Subdomains müssten die gleiche Anzahl von digitalen Zertifikaten ausstellen und verwalten, was die Komplexität des Zertifikatslebenszyklusmanagements erhöht. Die gute Nachricht ist, dass es eine Lösung gibt, um diese Belastung zu umgehen.
Wildcard-Zertifikate versprechen Einfachheit, aber sind sie die Lösung für all unsere Gebete?
In den letzten Jahren haben wir einen enormen Anstieg Aufschwung der Anzahl von mit dem Internet verbundener Geräte. In der Tat werden bächstes Jahr wird die Zahl der angeschlossenen Geräte die Zahl der Menschen im Verhältnis drei zu eins übertreffen.
Wenn wir über Maschinen sprechen, jedoch, meinen wir nicht nur die physischen Geräte in Ihrem Netzwerk. Heute, Maschinen auch alles von angeschlossenen IoT und mobilen Geräten bis hin zu software-definierten Anwendungen, Cloud Workloads, virtuelle Maschinen (VMs), Containerund sogar der Code, der auf auf sie laufen.
Ähnlich wie menschliche Identitäten (Benutzernamen und Passwörter), die wir für den Zugriff auf die Anwendungen und Geräte verwenden, die wir täglich nutzen, verwenden auch Maschinen eine Reihe von Anmeldedaten (in Form von kryptografischen Schlüsseln und digitalen Zertifikaten), um sich zu authentifizieren und sicher zu kommunizieren.
Mit der zunehmenden Verbreitung von Maschinen ist jedoch die schiere Anzahl dieser Schlüssel und digitalen Zertifikate exponentiell zugenommen, was zu einem ernsthaften Problem bei der Verwaltung der Maschinenidentität führt. Dazu später mehr.
Was sind Maschinenidentitäten?
Lassen Sie uns zunächst erörtern, was wir unter Maschine Identität.
Bevor Sie diesen Blog erreicht haben, haben Sie wahrscheinlich auf irgendein Gerät gesprungen und haben sich mit einem Benutzernamen und einem Passwortord. Allerdings, Maschinen können jedoch keinen Benutzernamen und kein Passwort eingeben. Stattdessen, verwenden sie eine Reihe von Berechtigungsnachweise, die geeignet für hochautomatisierte und vernetzte Umgebungen - Dazu gehören:
- SSL/TLS Server-Zertifikate schaffen Vertrauen in Ihre öffentlich zugänglichen Websites und Anwendungen, die z. B. auf Webservern, Anwendungsservern und Load Balancern bereitgestellt werden. Ohne angemessene Sichtbarkeit, diese Zertifikate unerwartet ablaufen und auslösen. kostspielige Anwendungsausfälle.
- SSL/TLS Client-Zertifikate werden verwendet, um die Identität von Benutzern, Webdiensten oder Maschinen untereinander zu authentifizieren. Mit der explosionsartigen Zunahme von DevOps, mobilen und IoT Geräten, Cloud- und Microservices haben diese Zertifikate stark an Bedeutung gewonnen. Sie übertreffen in der Regel die Anzahl der serverseitigen SSL/TLS Zertifikate um das 1.000-fache oder mehr, sind aber oft ein "blinder Fleck" für Unternehmen, der die Wahrscheinlichkeit eines Ausfalls erhöht.
- Code-Signatur-Zertifikate verifizieren die Authentizität und Integrität von Skripten, ausführbaren Dateien und software Builds. Allerdings die meisten Unternehmen immer noch manuelle und unsichere Unterzeichnung Methoden die für die heutigen verteilten Entwicklungsteams einfach nicht geeignet sind und auch nicht schützen sensible Code-Signierschlüssel vor Missbrauch oder Diebstahl.
- SSH-Schlüssel bieten Benutzern, in der Regel Systemadministratoren, sichere privilegierten Zugang zu kritische Systeme. Sie sichern auch verschiedene automatisierte Prozesse und Maschine-zu-Maschine-Transaktionen in Unternehmensnetzen. Im Gegensatz zu SSL Zertifikaten, SSH-Schlüssel nichtnicht ablaufenwas bedeutet, dass Tausende von Schlüsseln oft schlummern oder vergessen im gesamten Netzwerk, was SSH-basierten Angriffen Tür und Tor öffnet.
- Kryptographische Schlüssel (auch bekannt als symmetrische Schlüssel) schützen typischerweise schützen Daten im Ruhezustand auf EndpunktenDatenbanken und Cloud-Workloads, aber eine unterschiedliche Schlüsselverwaltung Schlüsselverwaltungstools auf verschiedenen virtuelle und Cloud-Plattformen machen und Cloud-Plattformen machen es schwierig, eine zentrale Sichtbarkeit und Kontrolle über die Schlüssel aufrechtzuerhalten.
Was ist Machine Identity Management?
Gartner stellte vor maschinelles Identitätsmanagement dem Markt in seinem jüngsten 2020 Hype Cycle für Identitäts- und Zugriffsmanagement - stellt der Bericht fest:
"Ties ist ein neues Profil, das den gestiegenen Bedarf an der Verwaltung von kryptografischen Schlüsseln, X.509-Zertifikaten und anderen Berechtigungsnachweisen widerspiegelt, die verwendet werden, um das Vertrauen in die Identitäten von Maschinen, wie IoT Geräte, virtuelle Maschinen, Container und RPA-Bots."
Bis zu diesem Punkt haben die meisten Unternehmen unterschiedliche Tools und manuelle Tabellenkalkulationen verwendet, um verwalten und zu verwalten. verfolgen von Identitäten ihrer Maschinen. Diese Methoden fallen jedoch bei großem Umfang schnell auseinanderund viel zu viele sind Opfer von AusfällenSicherheitslücken und Audit-Versagen zum Opfer gefallen.
Warum die Verwaltung der Maschinenidentität so wichtig ist
Laut Gartner "umfasst das maschinelle Identitätsmanagement eine Reihe von Technologien, die heute meist noch siloed (d.h. X.509-Zertifikatsverwaltung, SSH-Schlüsselverwaltung sowie Verwaltung von Geheimnissen und anderen Kryptoschlüsseln)."
Trotz der unterschiedlichen Anwendungsfälle für Maschinenidentitäten in Organisationensind die Herausforderungen Herausforderungen im Zusammenhang mit der Verwaltung durchweg die gleichen:
- Sichtbarkeit: Wenn wir mit Unternehmen sprechen - unabhängig von Größe oder Branche - ist die überwältigende Antwort, dass sie nicht wissen, wie viele Schlüssel und Zertifikate sie haben, wem sie gehören, welche Richtlinien sie einhalten oder wann sie ablaufen.
- Governance: Das nächste Problem ist der Mangel an Eigentum und Kontrolle. Dies gilt insbesondere für SSL/TLS Zertifikate und SSH-Schlüssel, die von verschiedenen Teams innerhalb des Unternehmens verwendet werden, oft ohne einheitliche Richtlinien oder Kontrolle darüber, wie sie ausgestellt werden, wer Zugriff hat, wann sie erneuert werden müssen usw.
- Schutz: Maschinenidentitäten sind basieren auf einem Vertrauensmodell. X.509-Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA). Private Schlüssel müssen gespeichert und vor Kompromittierung geschützt werden. Wenn diese Schutzvorkehrungen nicht vorhanden sind, kann man den Rechneridentitäten nicht trauen.
- Automatisierung: Manuelle Prozesse sind nicht nur zeitaufwändig, sondern auch fehleranfällig und ineffektiv im großen Maßstab. Ein Beispiel, Handhabung des Lebenszyklus von Zertifikaten - von der Bearbeitung von AnfragenAnfragen bis zur AusstellungAusstellung und Installation und schließlich Widerruf oder Erneuerung - erfolgt häufig vollständig manuell, was sowohl für Administratoren als auch für Benutzer stundenlange Arbeit bedeutet.
Die Aufgabe des Identitätsmanagements von Maschinen besteht darin, die Erkennung durchzuführen, Verwaltung, und Automatisierung der von den Maschinen verwendeten Maschinen. Diese Lösungen sollten auch sein. entworfen auf den Umfang Umfang und Komplexität der modernen IoT, Anwendungsentwicklung (oder DevOps) und Multi-Cloud Anwendungsfälle.
Veraltetes vs. modernes Maschinenidentitätsmanagement
Achten Sie auf veraltete Lösungen. Im Gegensatz zu modernen Werkzeugen, traditionelle Anbieter von Maschinenidentitätsmanagement oft nicht die Einsatzflexibilität und das Preismodell Modell, oder Produktarchitektur, die moderne Unternehmen brauchend um all ihre Maschinenidentitäten effektiv zu verwalten.
Bei Keyfactorglauben wir, dass es keine Schlüssel zweiter Klasse gibt oder Zertifikate. Jede Maschinenidentität ist wichtig. Unsere Plattform wurde von Grund auf so konzipiert, dass sie mit Millionen von Rechneridentitäten umgehen kann, wobei der Schwerpunkt auf folgenden Aspekten liegt Sichtbarkeit und Kontrolle Kontrolle über jede einzelne, ohne unnötige Kosten oder Komplexität.
Hier sind einige wichtige Unterschiede zwischen alten und modernen Lösungen:
- Middleware vs. modulare Architektur
- Pro-Zertifikat-Gebühren vs. unbegrenzte Lizenzoptionen
- Vor-Ort-Bereitstellung vs. Cloud-First-Bereitstellung
- Kein PKI-Backend vs. vollständig gehostete PKI as-a-Service
Mehr erfahren
Finden Sie heraus, warum die Verwaltung von Maschinenidentitäten die nächste Priorität für Sicherheits- und IAM-Verantwortliche ist. Erhalten Sie Einblicke von mehr als 1.100+ IT- und Sicherheitsexperten im allerersten State of Machine Identity Management Report.