什么是机密管理?

已于 2024-09-06 15:15:00 修改
阅读量616 收藏 12
点赞数 7
分类专栏: PAM 文章标签: 机密管理 PAM 特权访问管理
于 2024-09-06 14:55:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITmoster/article/details/141958992
版权

什么是机密?

在DevSecOps和工程实践中,“机密”通常指的是数字凭证,例如用户名、密码、口令、认证令牌、SSH密钥、SSL/TLS证书以及应用程序和API密钥。

机密的类型

通常,企业会根据其内部流程和IT方向处理各种各样的机密。以下是常见的企业 IT 实践中涉及的机密类型的主要示例。

  • 密码:用于对用户进行身份验证的凭据。
  • 证书:用于跨网络安全通信和身份验证的数字证书。
  • SSH 密钥:在网络中用于验证和建立安全连接的密钥。
  • 身份验证令牌:用于基于 OAuth 的身份验证设备中的授权的令牌。
  • 硬编码密钥:嵌入在应用程序代码或 DevOps 流程中的密钥。
  • 服务帐户凭据:服务用于访问资源的凭证。
  • 个人身份识别码:用于身份验证的数字代码。
  • 会话 Cookie:用于安全维护会话信息的 Cookie。

机密的生命周期

企业中机密的生命周期从其创建开始,其中密码、API 密钥和证书等机密由用户生成或创建。然后,这些机密将安全地存储在受保护的环境中,例如机密管理系统或加密的保管库。在整个生命周期中,将审核机密的访问和使用,以检测和响应任何可疑活动,当一个机密不再需要时,将删除该机密,以防止未经授权的恢复并防止长期特权。

什么是机密管理?

机密管理是指对业务关键型凭证(统称为机密)的安全存储、管理和受限访问,用于对企业流程、工作流、服务和应用程序进行身份验证。

为什么机密管理对组织至关重要?

随着组织的发展和规模,机密信息管理成为其 IT、DevOps 和工程团队的一项不可妥协的需求。这是因为代码库和流程的扩展性质,导致各种应用程序、微服务、开发人员和 RPA 工具、容器和编排工作流以及 API 中的机密信息激增。

凭证通常以纯文本格式存储在文件和脚本中,并且通常在 CI/CD 管道、自动化流程和工程工作流程中涉及的多个人之间共享。在没有适当规划或通知的情况下更改这些凭证可能会导致多个关键流程的级联失败。

此外,如果这些凭证在无意中暴露,它们可能被恶意行为者利用来破坏组织的重要信息系统。因此,实施安全且定义明确的程序来管理和保护这些凭证以降低未经授权访问或滥用的风险至关重要。

但是,通过适当的机密管理解决方案,企业团队可以通过将凭证存储在加密的数字保险库中来避免以纯文本格式嵌入凭证,该数字保险库提供了从中央控制台安全地获取、轮换、跟踪和管理机密的选项。

在这里插入图片描述

管理机密相关的主要挑战

以下是与机密管理相关的一些常见风险和注意事项:

  • 凭证激增:如果机密管理不当,它们很容易被窃取,这可能会导致数据泄露,从而损害组织的声誉和利益。
  • 缺乏问责和可见性:如果没有适当的机密管理例程,几乎不可能跟踪这些用于验证流程和工作流的机密的使用情况,这反过来又使安全团队难以预防和降低凭证滥用的风险。
  • 前所未有的中断和停机:如果在没有任何事先规划和批准的情况下更改了硬编码凭证,这可能会导致多个工作流、服务和流程同时失败。
  • 违规行为:许多行业都受到要求组织保护敏感数据的法规的约束,如果机密信息管理不当,组织可能会被发现违反这些规定,这可能会导致罚款或其他处罚。

自动化是机密管理的关键

随着企业流程和工作流程的数量和复杂性不断增加,IT 团队必须采用完善的机密管理策略,其中包括定期扫描、轮换和实时监控分布在整个组织中的机密。

如上所述,机密的硬编码既是一个繁琐的过程,也是一个糟糕的安全实践。大多数工具都旨在管理特定应用程序或平台(Kubernetes、Docker、Jenkins 等)或其下的子进程的机密。虽然应用程序密码管理工具多年来越来越受欢迎,但大多数工具只提供一个基本的保险库来获取和存储机密,除此之外没有其他功能。

随着合规性成为各行各业不可避免的要求,机密管理并不仅仅局限于将机密存储在保险库中,同样重要的是定期轮换它们,监控它们的使用情况,并审计由这些机密验证的用户活动和流程,以有效和普遍地符合行业标准。

机密管理是现代特权访问管理(PAM)工具的一个不可或缺的模块,它不仅具有机密保管功能,还提供精细的访问治理控制,以控制谁有权访问这些机密的权限。PAM 工具还提供安全的应用程序到应用程序密码管理(AAPM)控制,用于验证分布在企业中的应用程序、端点、非人工帐户、进程和服务。

基本机密管理的通常做法

  • 定期发现密码、密钥和其他机密,并从中央控制台对它们进行存储和管理。
  • 定期对所有需要访问这些机密的特权账户进行彻底的审核。
  • 实施严格的密码策略,涵盖密码复杂性、长度、轮换周期和到期时间。
  • 消除以纯文本格式对凭证进行硬编码并将其嵌入到文件、脚本、代码构建和应用程序中的做法。
  • 实施最低权限访问以删除永久访问权限,为用户分配默认最低权限,理想情况下应将其设置得尽可能低。
  • 为第三方和供应商提供最低的默认权限来执行其工作。
  • 利用威胁分析将特权访问审计与整个企业的事件关联起来,从而做出正确的安全决策。

什么是机密管理工具,它们如何工作?

组织使用机密管理工具来安全地存储、管理和在用户之间共享机密,使用这些工具很重要,因为它们可以降低数据泄露、未经请求的常设特权的风险,并有助于消除特权蔓延。通常,机密管理工具内置了一个保险库,可以加密格式存储机密,这是一种安全的共享机制,允许管理员在不泄露凭证的情况下与特权用户共享机密。

企业机密管理

PAM360企业PAM解决方案,提供了DevSecOps CI/CD 解决方案和 RPA 工具集成,以确保应用程序凭据的安全管理,此集成允许进程和应用程序自动从 PAM360 的保险库中检索凭据。管理员还可以执行敏感操作,例如访问预置、定期密码更改、精细控制和审计,所有这些都不会中断内部工作流。

ManageEngine卓豪
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
如何进行 AWS 云监控
09-04 1202
AWS 云监控是收集和分析数据(如日志、指标和 AWS 生态系统内各种服务生成的事件)的过程。它通过持续监控安全威胁和漏洞,在维护 AWS 环境的安全方面发挥着关键作用。
博客
如何进行SD-WAN监控
09-03 1036
SD-WAN或软件定义WAN是一种WAN虚拟化技术,其中软件用于管理分布式站点、数据中心、云应用程序和用户之间的WAN连接。传统上,这些站点之间的WAN连接由互联网服务提供商(ISP)或通过多协议标签交换(MPLS)进行管理,其中组织使用专用专用线路或租用线路。
博客
惠普(HP)服务器监控
09-02 738
OpManager 惠普(HP)监控工具解决服务器性能问题,从跟踪指标到监控性能,能跟踪多个关键指标,包括CPU使用率、I/O、内存利用率、磁盘使用率和服务器进程。还能执行远程故障排除操作,运行脚本或系统命令,终止资源密集型进程,并通过即时电子邮件或短信告警获得任何故障通知。
博客
什么是基于云的 SIEM
08-30 846
基于云的安全信息和事件管理(SIEM)是一种网络安全解决方案,旨在保护组织免受网络威胁、识别安全威胁并帮助他们遵守严格的数据法规。它利用云计算技术来应对不断变化的网络安全形势和日益复杂的 IT 基础设施所面临的挑战。
博客
如何监控特权帐户
08-29 872
PMP是基于web的特权账户管理解决方案,能存储、共享、管理、监控和审核组织中任何特权帐户的生命周期。所有这些功能都内置在一个平台中,例如帐户发现、强大的保管机制、粒度访问控制、自动密码重置、SSL证书生命周期管理、用户活动审计和安全远程访问。
博客
什么是 AWS CloudWatch?
08-28 1165
AWS CloudWatch 是 AWS 提供的一项全面的监控和可观测性服务,使用户能够收集和可视化指标、日志和事件;设置警报;并根据预定义的条件自动执行操作。CloudWatch 提供对 AWS 资源和应用程序的运行状况、性能和运行状态的深入了解,使用户能够优化资源利用率并主动排除问题。
博客
如何保护Active Directory 的安全性
08-26 1019
Active Directory 是 Microsoft 的专有服务,使管理员能够管理和访问网络资源,它有助于存储与组织有关的各种对象(如网络资源、共享文件夹、文件和用户)的信息,它还能处理用户和域之间的交互。AD 在验证用户身份方面起着重要作用。
博客
什么是应用交付控制器(ADC)
08-22 910
应用交付控制器(ADC)管理和监控客户端和 Web 服务器之间的请求和响应,ADC可以充当反向代理,它接收客户端请求,对其进行解密,并在验证其有效性后将其传递给服务器。服务器将响应发回给ADC,ADC对响应进行加密并将其转发给客户端。
博客
用户和实体行为分析(UEBA)基础指南及解决方案
08-21 1110
用户和实体行为分析(UEBA)或异常检测是一种网络安全技术,它使用机器学习(ML)算法来检测网络中用户、主机和其他实体的异常活动。
博客
在 Active Directory 中批量管理组和用户的方法
08-20 1081
使用集成式身份和访问管理(IAM)解决方案 AD360,管理员可以自动执行整个 AD 用户创建过程,从而节省时间和精力,还可以利用基于审查批准的 AD用户配置自动化,并通过报告跟踪整个自动化过程。
博客
Amazon VPC基础指南
08-16 888
AWS 为企业提供 VPC 作为解决方案,以提高云安全性,使用此解决方案,组织可以将其资源放到可以私密访问的虚拟云空间中,从而为其云资源增加安全层。
博客
什么是日志管理,如何进行日志管理
08-13 986
日志管理是对IT系统生成的日志数据进行收集、存储、分析和处理的系统实践,此重要功能为网络管理人员提供了解决问题和优化IT基础设施性能的方法,并帮助网络安全管理人员获得识别威胁、进行取证分析并保持对监管标准的遵守。
博客
SSH 和 Telnet 之间的区别
08-08 494
SSH 和 Telnet是帮助用户与远程系统建立连接的两种通信协议,这些通信协议决定了数据如何在网络上的不同设备之间传输,这些设备通常需要通过各种物理和数字环境进行传输,网络协议的主要目标是通信、网络管理和安全。
博客
什么是日志收集
07-30 691
EventLog Analyzer 日志管理解决方案,帮助组织有效地收集、分析和管理来自各种来源的日志数据,这种实时日志关联并不仅仅止于检测,它会立即触发警报,这些警报充当主动防护,确保对安全漏洞或操作问题做出快速响应,让管理员可以全面了解网络安全状况。
博客
什么是端点安全
07-30 1066
端点安全是网络安全策略的重要组成部分,侧重于保护网络中的各个设备(端点)免受各种网络威胁和未经授权的访问。通过实施全面的端点安全解决方案,可以降低与恶意软件感染、数据泄露、网络钓鱼攻击和内部威胁等相关风险。
博客
什么是日志分析
07-24 1025
日志分析(或日志文件分析)是检查整个网络生成的日志数据的过程,日志数据从各种来源生成,包括外围设备、工作站、服务器、应用程序以及其他硬件和软件组件,集中收集并分析这些信息,可以更好地理解网络运行、排除故障、维护网络安全。
博客
AWS监控工具,监控性能指标
07-22 1112
AWS web服务监控要求管理员授权该工具访问其AWS,通过该工具可以创建监视器,然后,管理员可以收集复杂的指标,可视化资源使用情况,并对云环境中所有支持的服务的潜在异常发出警报。一些AWS监控服务(如Applications Manager)在提供对Amazon云基础设施中的每个微服务的操作可见性方面发挥了巨大的作用。
博客
企业日志管理,增强安全性
07-19 653
日志管理是一个系统的过程,包括收集、日志解析、分析和存储在组织的数字生态系统中生成的大量日志数据,日志是各种事件的综合记录,如用户操作、错误消息、系统事件、安全事件等,当涉及到根本原因日志分析或增强组织的安全状况时,这些信息至关重要。
博客
什么是裸机管理程序?
07-19 1110
虚拟机监控程序和 VM 的性能完全取决于底层硬件的性能,这意味着运行 VM 的硬件对业务非常关键,为了持续关注虚拟机主机并有效地管理其虚拟机,网络管理员需要一种网络监控解决方案,以提高对其虚拟机基础架构的可见性,而不管虚拟机管理程序属于哪个供应商。
博客
使用云监控工具,了解云性能
07-17 797
Applications Manager云监控工具,收集指标,并在基于云的系统运行中出现问题时主动发现问题,云使用情况监视器可帮助管理员分析聚合数据,有助于确保云服务器的运行状况和可用性,在性能问题影响最终用户之前发现并修复性能问题,并优化应用程序的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值