工程师和开发人员需要了解关于机器身份的哪些信息？

如今，全面的数字化转型计划正在流程自动化、制造和物联网 (IoT) 等领域实现组织改进。然而，现代工厂、工业设施和企业中连接设备和机器的指数级增长暴露了机器对机器通信中的关键网络安全漏洞。

必须对机器身份进行适当的身份验证和管理，以确保仅向合法用户或机器授予访问权限，无论涉及的身份数量或设施网络的复杂性如何。

工业设施中的所有联网机器都需要拥有自己的安全身份，以防止网络攻击。

什么是机器身份管理？

机器身份管理包括用于管理机器在安全网络环境中或在线访问资源和其他机器所需的凭证认证的系统和过程。本质上，该机器身份是用于建立信任、验证其他机器和加密通信的数字凭证或“指纹”。

如果没有适当的身份验证管理，数字化流程固有的不断增加的机器交互数量会对业务连续性和恶意攻击的潜在破坏构成重大风险。唯一身份使这些过程能够使用加密密钥和数字证书确定交互是否值得信赖。每台机器都有一个机器标识，从工厂的机器人和HVAC 系统到计算机和移动设备，再到现代企业数字生态系统中的服务器和网络硬件。

机器身份不仅仅是数字 ID 号或简单的标识符，例如序列号或零件号。它是经过身份验证的凭据的混合体，可证明机器已被授权访问在线资源或网络。

机器身份是更广泛的数字身份基础的子集，包括企业环境中的所有人员和应用程序身份。它超越了易于识别的用例，例如验证通过 Wi-Fi 远程访问网络的笔记本电脑。在无人参与的系统之间进行数百万或数十亿次日常通信需要机器身份，例如传感器与工业系统或应用服务器通信，生成或使用跨多个数据中心存储的数据。例如，以下每一项都将被分配一个唯一的机器标识：

移动设备和智能手机

电脑和笔记本电脑

物联网 (IoT) 设备

Web 服务器和应用程序服务器

自动化工厂和仓储设施

网络设备和路由器

为什么机器身份至关重要？

随着数字化转型计划的扩大，参与实现其效益的机器数量也在增加。处于这一趋势中的组织需要全面的战略和战术执行，以实现有组织的数字身份系统，可靠地保护、管理和验证机器对机器的通信。

跨云和多云环境、分布式劳动力和创新连接设备的应用程序和数据以需要强大的数字身份方法来抵御持续和新兴威胁的方式相交。必须了解，许多这些交叉路口的特点是自动化，在机器对机器通信期间没有人工交互。安全隐患是巨大的。

机器交互必须安全且快速，以提供在全球范围内实现企业级保护所需的可靠性和可扩展性。

但随着已经复杂的环境扩展到包括制造机器人、自动化装配线、移动设备、云基础设施、DevOps、物联网和物理设备，未能管理身份所固有的财务风险急剧增加。虽然不正确的身份管理使企业更容易受到网络犯罪分子、恶意软件和欺诈的攻击，但它也使组织面临与员工生产力、客户体验问题、合规缺陷等相关的风险。

机器身份如何支持零信任

越来越多的 IT 安全专业人员正在通过采取零信任的方法来弥补差距。这意味着永远不会隐含地授予信任，必须不断评估。验证所有数字身份，包括机器身份，对于支持这种零信任模型尤为重要。机器身份包括对网络中的每个设备和进程授予详细的访问控制、特权访问控制和权限。

现代企业依靠公钥基础设施 (PKI) 证书作为确保身份的黄金标准。PKI 充当零信任架构的基础组件，该架构遵循所有最终用户、设备和应用程序身份的强大安全参数。使用数字证书及其加密密钥对可以加强对机器身份的验证。PKI 还可以用于保护位于防火墙网络架构之外的实体之间的连接。

在这个数字化转型的时代，零信任模型增强了机器身份保护，同时增加了对 PKI 的整合、自动化和现代方法的需求。

数字身份与密码与 MFA

今天的 IT 安全团队必须能够识别和验证整个工厂和企业的身份——无论这些身份属于人类、设备、数据还是应用程序。密码和多因素身份验证 (MFA) 过去提供了一定的安全措施，但它们不再像以前那样有效。

不良行为者越来越擅长通过一系列狡猾的方法窃取身份。

在人类身份方面，许多组织已转向 MFA，在某些情况下，还转向基于生物特征的身份验证。通常被吹捧为密码、电话和一次性密码的安全替代方案，OATH 令牌 MFA 解决方案充满了记录在案的漏洞。事实证明，它们容易受到与窃取密码一样容易且可扩展的高调攻击。此外，员工使用具有 MFA 的应用程序的努力——比记住密码已经具有挑战性的麻烦要麻烦得多——使员工和 IT 管理员的生活变得更加复杂。

机器身份给 IT 团队带来了一系列额外的问题。

如前所述，机器对机器通信的特点是自动化。机器无法回答智能手机以获得一次性密码。在自动化通信过程中存储或传输密码为漏洞打开了大门。鉴于数字业务转型的激增，组织需要一种完全不同且更好的方法来验证机器身份。

与密码和 MFA 相比，使用数字证书的数字身份消除了对可被网络犯罪分子截获的共享秘密的依赖。当机器证明拥有私钥时进行身份验证，私钥通常存储在机器的硬件安全模块 (HSM) 中并加以保护。然后交易由私钥签名并由公钥验证。这个公钥/私钥对是由几种健壮的密码算法之一生成的。

与基于密码的身份验证相比，此过程提供了更出色的数据保护和安全性，以防止黑客入侵，原因如下：

私钥永远不会离开客户端。与密码相反，密码很容易通过日益复杂的网络钓鱼攻击有意或无意地共享。

私钥不能在传输过程中被盗，因为它永远不会被传输。与在 Internet 传输过程中可能被盗的密码不同，私钥永远不会被传输。

无法从服务器存储库中窃取私钥。存储在中央服务器存储库中的密码可能会被盗；私钥只有用户设备知道，不集中存储。

用户无需记住密码或输入用户名。用户的设备只需存储一个私钥以在需要时提供，从而提供更无缝的用户体验。

为什么要自动化机器身份管理？

机器身份随着需要机器对机器通信的进程和设备数量的增加而增加。根据思科年度互联网报告，到 2023 年，全球将有 293 亿台联网设备，高于 2018 年的 184 亿台连接。五年内新增设备超过 100 亿台，是 2021 年全球人口的三倍多。

因此，当今的现代企业在全球范围内保护敏感数据所需的机器身份数量正在经历前所未有的增长。让事情变得更具挑战性的是，数字证书寿命的持续缩短意味着 IT 团队将难以更频繁地更换证书并在比以往更短的时间内管理更多身份。

虽然没有比 PKI 提供的数字身份更强大、更易于使用的身份验证和加密解决方案，但忙碌的 IT 团队面临的挑战是手动部署和管理证书非常耗时，并且可能导致不必要的风险。底线？手动机器身份管理既不可持续也不可扩展。

无论企业是为 Web 服务器部署单个 SSL 证书，还是管理其所有联网设备身份的数百万个证书，证书颁发、配置和部署的端到端过程都可能需要数小时。手动管理证书还使企业面临被忽视的证书意外过期和所有权缺口的重大风险——丢球可能导致与证书相关的中断、关键业务系统故障以及安全漏洞和攻击。

客户和内部用户依赖关键业务系统始终可用。但近年来，过期证书导致许多备受瞩目的网站和服务中断。其结果是数十亿美元的收入损失、合同罚款、诉讼以及品牌声誉受损和客户商誉损失的无法估量的成本。

自动化机器身份管理时要寻找什么？

对于 CIO 和 CSO 来说，自动化机器身份管理的投资回报是显而易见的。

IT 专业人员必须重新考虑他们的证书生命周期管理策略。特别是随着企业越来越多地将依赖于快速变化的 DevOps 环境的服务推向市场，组织需要一个自动化的解决方案，以确保在没有人工干预的情况下正确配置和实施证书。自动化有助于降低风险，也有助于 IT 部门控制运营成本并缩短产品和服务的上市时间。

最近，PKI 已经发展为更加通用。互操作性、高正常运行时间和治理仍然是关键优势。但是今天的 PKI 解决方案在功能上也能够通过以下方式改进管理和证书生命周期管理：

自动化：完成单个任务，同时最大限度地减少手动流程。

协调：使用自动化来管理广泛的任务组合。

可扩展性：管理数百、数千甚至数百万的证书。

加密敏捷性：快速更新加密强度并用量子安全证书撤销和替换有风险的证书，以响应新的或不断变化的威胁。

可见性：在所有用例中通过单一窗格查看证书状态。

鉴于使用数字证书的许多不同的机器、系统和应用程序，IT 团队经常发现自己管理着来自许多不同供应商的不同自动化服务。运行多个自动化平台通常会导致效率降低。单个证书管理仪表板可跨所有用例和供应商平台自动进行发现、部署和生命周期管理，从而实现自动化所承诺的效率。IT 团队仍然保持对配置定义和规则的控制，以便正确执行自动化步骤。

自动化证书管理解决方案使为许多企业、企业和工业应用程序开发和实施安全解决方案变得更加容易和快捷。

受信任的证书颁发机构 (CA) 提供数字身份管理自动化解决方案，使企业能够敏捷、高效并完全控制其环境中的所有证书，包括验证机器身份的证书。

您的 CA 应支持通过行业领先的协议、API 和第三方集成自动安装、撤销和续订 SSL/TLS 和非 SSL 证书。最后，CA 消除了开源替代品可能出现的证书容量上限问题。

作者：Sectigo 首席合规官 Tim Callan

Tim Callan 是全球最大的商业证书颁发机构 Sectigo 的首席合规官，也是专用自动化 PKI 解决方案的领导者，并且是流行的 PKI 和安全播客“根本原因”的共同主持人。Tim 在知名 PKI 和数字证书技术提供商（包括 VeriSign、Symantec、DigiCert 和 Comodo CA）的领导职位上拥有 20 多年的经验。自 2006 年以来，他一直是一名安全博主，经常发表技术文章。他曾在 RSA Security Expo、Search Engine Strategies、ClickZ 和 Internet Retailer Conference and Expo 等会议上发表演讲。作为 CA/浏览器论坛的创始成员，Tim 在 2000 年代后期创建和推出扩展验证 SSL 方面发挥了关键作用。

审核编辑 黄昊宇