如今，全面的數字化轉型計劃正在流程自動化、制造和物聯網 (IoT) 等領域實現組織改進。然而，現代工廠、工業設施和企業中連接設備和機器的指數級增長暴露了機器對機器通信中的關鍵網絡安全漏洞。

必須對機器身份進行適當的身份驗證和管理，以確保僅向合法用戶或機器授予訪問權限，無論涉及的身份數量或設施網絡的復雜性如何。

工業設施中的所有聯網機器都需要擁有自己的安全身份，以防止網絡攻擊。

什么是機器身份管理？

機器身份管理包括用于管理機器在安全網絡環境中或在線訪問資源和其他機器所需的憑證認證的系統和過程。本質上，該機器身份是用于建立信任、驗證其他機器和加密通信的數字憑證或“指紋”。

如果沒有適當的身份驗證管理，數字化流程固有的不斷增加的機器交互數量會對業務連續性和惡意攻擊的潛在破壞構成重大風險。唯一身份使這些過程能夠使用加密密鑰和數字證書確定交互是否值得信賴。每臺機器都有一個機器標識，從工廠的機器人和HVAC 系統到計算機和移動設備，再到現代企業數字生態系統中的服務器和網絡硬件。

機器身份不僅僅是數字 ID 號或簡單的標識符，例如序列號或零件號。它是經過身份驗證的憑據的混合體，可證明機器已被授權訪問在線資源或網絡。

機器身份是更廣泛的數字身份基礎的子集，包括企業環境中的所有人員和應用程序身份。它超越了易于識別的用例，例如驗證通過 Wi-Fi 遠程訪問網絡的筆記本電腦。在無人參與的系統之間進行數百萬或數十億次日常通信需要機器身份，例如傳感器與工業系統或應用服務器通信，生成或使用跨多個數據中心存儲的數據。例如，以下每一項都將被分配一個唯一的機器標識：

移動設備和智能手機

電腦和筆記本電腦

物聯網 (IoT) 設備

Web 服務器和應用程序服務器

自動化工廠和倉儲設施

網絡設備和路由器

為什么機器身份至關重要？

隨著數字化轉型計劃的擴大，參與實現其效益的機器數量也在增加。處于這一趨勢中的組織需要全面的戰略和戰術執行，以實現有組織的數字身份系統，可靠地保護、管理和驗證機器對機器的通信。

跨云和多云環境、分布式勞動力和創新連接設備的應用程序和數據以需要強大的數字身份方法來抵御持續和新興威脅的方式相交。必須了解，許多這些交叉路口的特點是自動化，在機器對機器通信期間沒有人工交互。安全隱患是巨大的。

機器交互必須安全且快速，以提供在全球范圍內實現企業級保護所需的可靠性和可擴展性。

但隨著已經復雜的環境擴展到包括制造機器人、自動化裝配線、移動設備、云基礎設施、DevOps、物聯網和物理設備，未能管理身份所固有的財務風險急劇增加。雖然不正確的身份管理使企業更容易受到網絡犯罪分子、惡意軟件和欺詐的攻擊，但它也使組織面臨與員工生產力、客戶體驗問題、合規缺陷等相關的風險。

機器身份如何支持零信任

越來越多的 IT 安全專業人員正在通過采取零信任的方法來彌補差距。這意味著永遠不會隱含地授予信任，必須不斷評估。驗證所有數字身份，包括機器身份，對于支持這種零信任模型尤為重要。機器身份包括對網絡中的每個設備和進程授予詳細的訪問控制、特權訪問控制和權限。

現代企業依靠公鑰基礎設施 (PKI) 證書作為確保身份的黃金標準。PKI 充當零信任架構的基礎組件，該架構遵循所有最終用戶、設備和應用程序身份的強大安全參數。使用數字證書及其加密密鑰對可以加強對機器身份的驗證。PKI 還可以用于保護位于防火墻網絡架構之外的實體之間的連接。

在這個數字化轉型的時代，零信任模型增強了機器身份保護，同時增加了對 PKI 的整合、自動化和現代方法的需求。

數字身份與密碼與 MFA

今天的 IT 安全團隊必須能夠識別和驗證整個工廠和企業的身份——無論這些身份屬于人類、設備、數據還是應用程序。密碼和多因素身份驗證 (MFA) 過去提供了一定的安全措施，但它們不再像以前那樣有效。

不良行為者越來越擅長通過一系列狡猾的方法竊取身份。

在人類身份方面，許多組織已轉向 MFA，在某些情況下，還轉向基于生物特征的身份驗證。通常被吹捧為密碼、電話和一次性密碼的安全替代方案，OATH 令牌 MFA 解決方案充滿了記錄在案的漏洞。事實證明，它們容易受到與竊取密碼一樣容易且可擴展的高調攻擊。此外，員工使用具有 MFA 的應用程序的努力——比記住密碼已經具有挑戰性的麻煩要麻煩得多——使員工和 IT 管理員的生活變得更加復雜。

機器身份給 IT 團隊帶來了一系列額外的問題。

如前所述，機器對機器通信的特點是自動化。機器無法回答智能手機以獲得一次性密碼。在自動化通信過程中存儲或傳輸密碼為漏洞打開了大門。鑒于數字業務轉型的激增，組織需要一種完全不同且更好的方法來驗證機器身份。

與密碼和 MFA 相比，使用數字證書的數字身份消除了對可被網絡犯罪分子截獲的共享秘密的依賴。當機器證明擁有私鑰時進行身份驗證，私鑰通常存儲在機器的硬件安全模塊 (HSM) 中并加以保護。然后交易由私鑰簽名并由公鑰驗證。這個公鑰/私鑰對是由幾種健壯的密碼算法之一生成的。

與基于密碼的身份驗證相比，此過程提供了更出色的數據保護和安全性，以防止黑客入侵，原因如下：

私鑰永遠不會離開客戶端。與密碼相反，密碼很容易通過日益復雜的網絡釣魚攻擊有意或無意地共享。

私鑰不能在傳輸過程中被盜，因為它永遠不會被傳輸。與在 Internet 傳輸過程中可能被盜的密碼不同，私鑰永遠不會被傳輸。

無法從服務器存儲庫中竊取私鑰。存儲在中央服務器存儲庫中的密碼可能會被盜；私鑰只有用戶設備知道，不集中存儲。

用戶無需記住密碼或輸入用戶名。用戶的設備只需存儲一個私鑰以在需要時提供，從而提供更無縫的用戶體驗。

為什么要自動化機器身份管理？

機器身份隨著需要機器對機器通信的進程和設備數量的增加而增加。根據思科年度互聯網報告，到 2023 年，全球將有 293 億臺聯網設備，高于 2018 年的 184 億臺連接。五年內新增設備超過 100 億臺，是 2021 年全球人口的三倍多。

因此，當今的現代企業在全球范圍內保護敏感數據所需的機器身份數量正在經歷前所未有的增長。讓事情變得更具挑戰性的是，數字證書壽命的持續縮短意味著 IT 團隊將難以更頻繁地更換證書并在比以往更短的時間內管理更多身份。

雖然沒有比 PKI 提供的數字身份更強大、更易于使用的身份驗證和加密解決方案，但忙碌的 IT 團隊面臨的挑戰是手動部署和管理證書非常耗時，并且可能導致不必要的風險。底線？手動機器身份管理既不可持續也不可擴展。

無論企業是為 Web 服務器部署單個 SSL 證書，還是管理其所有聯網設備身份的數百萬個證書，證書頒發、配置和部署的端到端過程都可能需要數小時。手動管理證書還使企業面臨被忽視的證書意外過期和所有權缺口的重大風險——丟球可能導致與證書相關的中斷、關鍵業務系統故障以及安全漏洞和攻擊。

客戶和內部用戶依賴關鍵業務系統始終可用。但近年來，過期證書導致許多備受矚目的網站和服務中斷。其結果是數十億美元的收入損失、合同罰款、訴訟以及品牌聲譽受損和客戶商譽損失的無法估量的成本。

自動化機器身份管理時要尋找什么？

對于 CIO 和 CSO 來說，自動化機器身份管理的投資回報是顯而易見的。

IT 專業人員必須重新考慮他們的證書生命周期管理策略。特別是隨著企業越來越多地將依賴于快速變化的 DevOps 環境的服務推向市場，組織需要一個自動化的解決方案，以確保在沒有人工干預的情況下正確配置和實施證書。自動化有助于降低風險，也有助于 IT 部門控制運營成本并縮短產品和服務的上市時間。

最近，PKI 已經發展為更加通用。互操作性、高正常運行時間和治理仍然是關鍵優勢。但是今天的 PKI 解決方案在功能上也能夠通過以下方式改進管理和證書生命周期管理：

自動化：完成單個任務，同時最大限度地減少手動流程。

協調：使用自動化來管理廣泛的任務組合。

可擴展性：管理數百、數千甚至數百萬的證書。

加密敏捷性：快速更新加密強度并用量子安全證書撤銷和替換有風險的證書，以響應新的或不斷變化的威脅。

可見性：在所有用例中通過單一窗格查看證書狀態。

鑒于使用數字證書的許多不同的機器、系統和應用程序，IT 團隊經常發現自己管理著來自許多不同供應商的不同自動化服務。運行多個自動化平臺通常會導致效率降低。單個證書管理儀表板可跨所有用例和供應商平臺自動進行發現、部署和生命周期管理，從而實現自動化所承諾的效率。IT 團隊仍然保持對配置定義和規則的控制，以便正確執行自動化步驟。

自動化證書管理解決方案使為許多企業、企業和工業應用程序開發和實施安全解決方案變得更加容易和快捷。

受信任的證書頒發機構 (CA) 提供數字身份管理自動化解決方案，使企業能夠敏捷、高效并完全控制其環境中的所有證書，包括驗證機器身份的證書。

您的 CA 應支持通過行業領先的協議、API 和第三方集成自動安裝、撤銷和續訂 SSL/TLS 和非 SSL 證書。最后，CA 消除了開源替代品可能出現的證書容量上限問題。

作者：Sectigo 首席合規官 Tim Callan

Tim Callan 是全球最大的商業證書頒發機構 Sectigo 的首席合規官，也是專用自動化 PKI 解決方案的領導者，并且是流行的 PKI 和安全播客“根本原因”的共同主持人。Tim 在知名 PKI 和數字證書技術提供商（包括 VeriSign、Symantec、DigiCert 和 Comodo CA）的領導職位上擁有 20 多年的經驗。自 2006 年以來，他一直是一名安全博主，經常發表技術文章。他曾在 RSA Security Expo、Search Engine Strategies、ClickZ 和 Internet Retailer Conference and Expo 等會議上發表演講。作為 CA/瀏覽器論壇的創始成員，Tim 在 2000 年代后期創建和推出擴展驗證 SSL 方面發揮了關鍵作用。

審核編輯 黃昊宇