© 2023 云安全联盟大中华区版权所有1© 2023 云安全联盟大中华区版权所有3© 2023 云安全联盟大中华区版权所有4致谢《网络安全和IAM 中的机器身份(Machine Identity in Cybersecurity and IAM)》由CSAIAM工作组家编写,CSA大中华区IAM工作组专家翻译并审校。中文版翻译专家组(排名不分先后):组长:于继万翻译组:伏伟任崔崟朱璐于振伟审校组:戴立伟谢琴研究协调员:蒋妤希感谢以下单位的支持与贡献:北京天融信网络安全技术有限公司华为技术有限公司江苏易安联网络技术有限公司上海物盾信息科技有限公司深圳竹云科技股份有限公司在此感谢以上专家及单位。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给予雅正! 联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。© 2023 云安全联盟大中华区版权所有5英文版本编写专家主要作者:Ravi ErukullaRamesh GuptaShruti KulkarniAnsuman MishraAlon Nachmany贡献者:Kapil BarejaFaye DixonJonathan FlackPaul MezzeraMichael RaggoVenkat RaghavanHeinrich SmitDavid Strommer审校者:Iain BeveridgeGuillaume CesbronSenthilkumar ChandrasekaranRajat DubeyShraddha PatilMurali PalanisamyChandrasekaran RajagopalanMichael RozaGaurav SinghCSA分析师:Ryan GiffordCSA全球员工:Claire Lehnert编辑:Larry Hughes© 2023 云安全联盟大中华区版权所有6序言随着信息技术的迅猛发展和企业数字化转型的推动,身份和访问管理(IAM)以及机器身份管理成为了组织安全战略中不可或缺的一部分。在这个数字化时代,管理和保护机器身份、控制访问权限以及确保数据和资源的安全性至关重要。本文提供机器身份基本概念、安全保护、挑战和最佳实践。围绕机器身份,介绍机器身份的定义和历史背景,对比了机器身份与人类身份的差异,分析了组织在保护机器身份时所面临的挑战, 最后,讨论了机器身份管理的最佳实践,包括生命周期管理、身份认证和持续监控控制。本文汇集了专业人士、企业领袖和安全专家的观点, 为您提供了全面的信息和见解,以帮助您更好地理解和应对当前和未来的身份和访问管理挑战。这些经验和措施将改变组织的机器身份安全策略和操作方式,以适应不断发展的数字化环境。我们希望这份白皮书可以为您提供有关 IAM 和机器身份管理的全面了解,帮助您加强组织的安全性,降低风险,实现合规性,并在数字化时代取得成功。李雨航 Yale LiCSA 大中华区主席兼研究院院长© 2023 云安全联盟大中华区版权所有7摘要:身份管理是信息安全的一个重要方面,因为它能确保只有经过授权的个人和实体才能访问敏感的数据和资源。随着技术在当今组织中的应用日益广泛,身份管理已扩展到包括(但不限于)机器身份(人类以外的任何其他身份),如设备身份、数字身份和工作负载身份。本白皮书旨在定义机器身份,探讨其历史和意义,并提供机器身份管理的最佳实践,以及与其相关风险的治理。本白皮书的目标受众包括信息安全专业人士、风险办公室/责任人、IT/网络安全联络员、技术/站点可靠性工程师(SRE)DevOps 团队、业务流程责任人、应用程序开发人员以及政府和监管机构。1.介绍身份管理可确保正确的个体(如人或机器)在正确的时间、正确的时长和以正确的理由访问正确的资源。这对于维护组织资源的安全至关重要。随着新技术的出现,身份管理已发展到不仅包括人类身份,还包括机器身份,如设备、数字工作负载和 RPA 机器人。本文件旨在提供对机器身份及其使用影响的理解。2.机器身份的定义通常,身份是由一个或多个属性组成的集合,可在特定上下文环境下唯一描述一个主体,如:个人、组织、设备、硬件、网络、软件、工作负载或服务(来源:NIST SP 800-63)。通过验证身份的凭证(如口令、密钥、证书)以区别于不同的身份身份属性可包括姓名、电子邮件地址、IP 地址或其他识别特征。人类身份与个人相关联,而机器身份则与设备、数字工作负载和其他类型的实体相关联。设备身份与笔记本电脑、智能手机和服务器等物理设备以及物联网等运营技术(OT)设备相关联。这些身份可用于对...
