在IT环境中,一些秘密管理得很好,而有些则在雷达下飞行。以下是公司通常管理哪些秘密的快速清单,包括他们应该管理的一种类型:
- 密码
- TLS证书
- 帐户
- SSH密钥
上面列出的机密通常通过特权访问管理(PAM)解决方案或类似解决方案进行保护。然而,大多数传统的PAM供应商几乎不谈论SSH密钥管理。原因很简单:他们没有正确地做这件事的技术。
我们可以证明这一点。我们所有的SSH密钥管理客户都部署了传统的PAM,但他们意识到他们无法用它管理SSH密钥。充其量,传统的PAM可以发现,更不用说管理所有密钥的20%。
那么,SSH钥匙有什么大惊小怪的呢?
SSH密钥是安全外壳(SSH)协议中的访问凭据。在许多方面,它们就像密码一样,但功能上有所不同。除此之外,密钥往往比密码多,特别是在长期存在的IT环境中,比例为10:1。虽然只有部分密码是特权的,但几乎所有的SSH密钥都为有价值的东西打开了大门。
一把钥匙也可以打开多个服务器的门,就像旧庄园里的骨架钥匙一样。根密钥允许管理员访问单个服务器或多个服务器。在与我们进行风险评估后,我们的一位客户发现了一个允许访问其所有服务器的根密钥。
另一个风险是任何人都可以自我配置SSH密钥。它们不是集中管理的,而是经过设计。这就是为什么关键扩散是大规模IT环境中一个挥之不去的问题。
还有更多:默认情况下,密钥不附带身份,因此共享或复制它们非常容易。还有,与第三方。默认情况下,密钥永远不会过期。
最重要的是,还有交互式和自动连接,后者更普遍。每天使用SSH运行数百万个自动应用程序对应用程序、服务器到服务器和机器对机器连接,但没有足够的组织(其中大部分是我们的客户)可以控制机器SSH凭据。
我相信你明白我的观点:你的IT环境可能充斥着你王国的密钥,但你不知道有多少,谁在使用它们,哪些是合法的,哪些应该删除,密钥没有最佳使用日期,并且可以在没有适当监督的情况下任意创建更多密钥。
关键问题就是你的关键问题。
为什么传统的PAM不能处理SSH密钥?
由于SSH密钥在功能上与密码不同,传统的PAM不能很好地管理它们。传统PAM是为保存密码而构建的,它们试图用密钥做同样的事情。如果不过多地详细说明密钥功能(如公钥和私钥),将私钥存入并应要求分发根本行不通。密钥必须在服务器端进行保护,否则控制它们是徒劳的。
此外,您的解决方案需要首先发现密钥来管理它们。大多数PAM不能。还有密钥配置文件和其他密钥(!)涉及传统PAM错过的元素。在以下文档中阅读更多内容:
没有SSH密钥管理,您的PAM就不完整
即使您的组织管理了100%的密码,如果您不管理SSH密钥,您仍然有可能缺少80%的关键凭据。作为安全外壳(SSH)协议的发明者,我们SSH通信安全是称为SSH密钥的访问凭据的原始来源。我们知道他们管理的来下和出去。
如果没有凭据访问,您的PAM就无法面向未来
让我们回到密码的话题。即使你把它们放在了拱顶上,你也没有以最好的方式管理它们。现代动态环境——使用内部或托管的云服务器、容器或Kubernetes编排——与库或20年前构建的PAM不配合。
这就是为什么我们提供现代临时访问,访问目标所需的机密是及时为会话授予的,一旦身份验证完成,它们就会自动过期。这根本没有留下密码或密钥需要管理。我们的解决方案也是非侵入性的:实施它需要对您的生产环境进行最少的更改。
因此,管理密码和密钥的最佳方法是根本不需要管理它们,而是转为短暂的机密管理。例如:
“我希望我还在旋转密码和密钥。”从来没有客户说过!
一旦你没有证书,你就不会回去了。从我们的客户那里获得,他们以71分的NPS分对我们的解决方案进行了评价——这在网络安全领域是天文数字。
到目前为止,传统的PAM运行良好,但现在是时候用现代解决方案来保护您的环境了,该解决方案允许您实现无密码和无密钥。以你舒服的速度。
参考来源:https://thehackernews.com/2024/09/passwordless-and-keyless-future-of.html
暂无评论内容