إدارة هويات الآلة في عالم انعدام الثقة
انضم إلى كبار المديرين التنفيذيين في سان فرانسيسكو يومي 11 و 12 يوليو ، لمعرفة كيف يدمج القادة استثمارات الذكاء الاصطناعي ويحسنونها لتحقيق النجاح.. يتعلم أكثر
تكافح الشركات من أجل إدارة هويات الآلة المنتشرة التي تنشئها مؤسساتهم. الأساليب الحالية لا تحجيم لتأمينها.
تمتلك المؤسسة النموذجية هويات أكثر 45 مرة من هويات الإنسان – والعديد من المنظمات لا تعرف بالضبط كم لديها. أكثر من ستة من كل 10 شركات غير متأكدة من عدد المفاتيح والشهادات لمنظمتها ، بزيادة 17٪ عن العام الماضي.
لهذا السبب يصعب على العديد من CISOs التحكم في هويات الماكينات الخاصة بهم. كان لدى المؤسسة النموذجية 250 ألفًا منهم لإدارتها في عام 2021 ، ومن المتوقع أن يتضاعف إلى 500 ألف بحلول عام 2024.
يقدم تقرير حالة إدارة هوية الآلة السنوي الثالث لمعهد Ponemon ، الذي نشرته Keyfactor ، لمحة دقيقة عن الحالة الحالية لإدارة هوية الجهاز – ولماذا تعد الثقة الصفرية أمرًا بالغ الأهمية لتحقيق ذلك بشكل صحيح.
حدث
تحويل 2023
انضم إلينا في سان فرانسيسكو يومي 11 و 12 يوليو ، حيث سيشارك كبار المسؤولين التنفيذيين في كيفية دمج استثمارات الذكاء الاصطناعي وتحسينها لتحقيق النجاح وتجنب المزالق الشائعة.
سجل الان
يقول CISOs لـ VentureBeat أن إدارة العدد الهائل من هويات الآلة التي تم إنشاؤها بواسطة التطبيقات والحاويات والخدمات السحابية والبرامج النصية والأجهزة الافتراضية (VM) والأجهزة المحمولة وأجهزة الكمبيوتر المحمول هي الجزء الأكثر تحديًا في الحصول على جانب إدارة الهوية والوصول (IAM) في أطر عدم الثقة صحيحة.
إضافة إلى التحدي هو الحاجة إلى إدارة دورات حياة هويات الآلة.
يعد البدء باستراتيجية على مستوى المؤسسة لإدارة البنية التحتية للمفتاح العام (PKI) أساسيًا في هذا الجهد.
كيف تدعم إدارة هوية الجهاز عدم الثقة
تعمل مجموعة من العوامل على زيادة الحاجة الملحة إلى الحصول على البنية التحتية للمفاتيح العمومية (PKI) بشكل صحيح كجزء أساسي من إستراتيجية إدارة هوية الجهاز (MIM) للمؤسسة: تسعى الشركات إلى اتباع أطر عدم الثقة. إنهم يوسعون شبكات إنترنت الأشياء الخاصة بهم. وهم يسعون وراء المزيد من الخدمات السحابية.
لكن مدراء تقنية المعلومات ورؤساء أمن المعلومات يخبرون VentureBeat أن فرقهم أصبحت ضعيفة بالفعل ، في حين أن البنية التحتية للمفاتيح العمومية تزداد تعقيدًا مع نمو هويات الآلة. بعد أن تم سحبها في اتجاهين ، تواجه فرق تكنولوجيا المعلومات والأمن السيبراني وقتًا أصعب وأصعب في مواكبة ذلك.
شهادة البنية التحتية للمفاتيح العمومية (PKI) هي ببساطة التحقق من هوية النظام. إنه يبحث في نظام ويقول ، “سأعطيك شهادة كدليل على هويتك” … عندما يتم تقديم هذه الشهادة ، فإنها تطلب في الأساس الوصول إلى مورد “، كابيل راينا ، نائب رئيس شركة انعدام الثقة والهوية ، وتسويق أمن البيانات في CrowdStrike ، أخبر VentureBeat خلال مقابلة أجريت معه مؤخرًا.
نفذت CrowdStrike تجزئة الهوية الخاصة بها للالتزام بمعيار بنية الثقة NIST SP 800-27. فكرة تجزئة الهوية تفعل ذلك بالضبط. نحن نعتمد على الهويات لتحديد المناطق التي يريد عملاؤنا فيها تقييد الحركة الجانبية أو الضرر “.
لمساعدة المؤسسات على مواجهة هذا التحدي ، تحتاج الأنظمة الأساسية لإدارة الهوية والوصول (IAM) إلى الاستمرار في تحسين أدوات إدارة دورة حياة الماكينة للتطبيقات ، والنصوص المخصصة ، والحاويات ، والأجهزة الافتراضية ، وإنترنت الأشياء ، والأجهزة المحمولة والمزيد. من بين البائعين الرائدين في هذا المجال Akeyless و Amazon Web Services (AWS) و AppViewX و CyberArk و CrowdStrike و Delinea و Google و HashiCorp و Keyfactor و Microsoft و Venafi.
إن فرض الوصول الأقل امتيازًا وتقوية كيفية التحقق من صحة هوية كل جهاز في الوقت الفعلي يمكّن إدارة هوية الماكينة من أن تصبح حجر الزاوية في أي إطار أمان انعدام الثقة. إن مقارنة كيفية مساعدة المجالات الوظيفية لـ MIM في تحسين الثقة الصفرية تؤكد لماذا يعتبر أخذ نظرة قائمة على دورة الحياة لهويات الماكينة والتحكم في إدارة المفاتيح أمرًا أساسيًا لتعزيز إطار أمان انعدام الثقة على مستوى المؤسسة.
تعد إدارة هويات الآلة تحديًا متعدد الأوجه
هناك عامل آخر يجعل من الصعب على CISOs التفوق في إدارة هويات الماكينة وهو الاحتياجات المتنوعة لفرق DevOps والأمن السيبراني وتكنولوجيا المعلومات و IAM و CIO. لكل منها أداة خاصة بها وتفضيلات التطبيق. ومع ذلك ، يخبر مدراء تقنية المعلومات VentureBeat أن الفرق متعددة الوظائف ضرورية لتحقيق التوازن بين الحوكمة المركزية والوظائف التشغيلية.
إن الحصول على إدارة عليا ، ومن الناحية المثالية ، مسؤول تنفيذي على مستوى C لامتلاك المشكلة أمر ضروري للتقدم. النبأ السار هو أن الإدارة العليا تتقدم وتتخذ زمام الأمور. قالت 36 في المائة من الشركات إن الافتقار إلى الدعم التنفيذي كان مشكلة خطيرة في عام 2021. وانخفضت هذه النسبة إلى 22 في المائة العام الماضي.
وجد بونيمون أن مدراء تقنية المعلومات يواجهون تحديات جديدة أكثر تعقيدًا لحماية هويات آلاتهم سريعة الانتشار. فيما يلي الأفكار الهامة المكتسبة من أحدث تقرير لبونيمون:
PKI لـ IoT و DevSecOps هي من بين حالات الاستخدام الأسرع نموًا اليوم
يتطلب تأمين التكوينات الهجينة والمتعددة الأوساط السحابية كجزء من مجموعة التكنولوجيا الأوسع نطاقًا PKI لحماية العديد من هويات الماكينات الجديدة التي يتم إنشاؤها يوميًا. العديد منها سريع الزوال أو يُستخدم لفترة قصيرة نسبيًا ، مما يجعل منهجًا آليًا للبنية التحتية للمفاتيح العمومية للحاويات وجدول إنشاء الأجهزة الظاهرية للبقاء متسقًا مع استراتيجية عدم الثقة.
ووجدت الدراسة أن بيئات DevSecOps و IoT قد ازدادت أهمية نظرًا لأن الاتجاهات الرائدة تدفع إلى زيادة اعتماد البنية التحتية للمفاتيح العمومية (PKI). زادت أهمية إنترنت الأشياء باعتباره اتجاهًا رئيسيًا من 43٪ في عام 2021 إلى 49٪ في عام 2023. وارتفعت عمليات DevSecOps من 40٪ في عام 2021 إلى 45٪ هذا العام.
يتطلب تحسين الثقة الصفرية الحصول على السيطرة على المرجع المصدق (CA) وامتداد البنية التحتية للمفاتيح العمومية (PKI)
من المراجع المصدقة الداخلية والشهادات الموقعة ذاتيًا إلى البنية التحتية للمفاتيح العمومية المستندة إلى السحابة ومراجع التصديق المضمنة في أدوات DevOps ، تتخلل البنية التحتية للمفاتيح العمومية المؤسسات الكبيرة الحجم. وفقًا للمشاركين في الاستطلاع ، تستخدم المؤسسة المتوسطة تسعة حلول CA و PKI.
في عام 2023 ، أعطت فرق إدارة معرف الجهاز الأولوية لتقليل تعقيد البنية التحتية للمفاتيح العمومية لاستعادة السيطرة ومنع انتشار المراجع المصدقة غير المتوافقة وغير الموثوق بها. إن السيطرة على توسع CA و KPI أمر لا بد منه لتحسين أوضاع أمان الثقة الصفرية عبر المؤسسة.
يواجه CISOs صعوبة في تعيين خبراء PKI ، والعديد منهم يعانون من نقص في الموظفين بالفعل
أدى نقص العمالة إلى إلحاق الضرر بالبنية التحتية للمفاتيح العمومية واستراتيجية هوية الآلة لمدراء أمن المعلومات وفرق الأمن. يقول المشاركون في الاستطلاع إن أهم التحديات التي تواجه فرقهم هي 1) الافتقار إلى العمال المهرة و 2) الكثير من التغيير وعدم اليقين. أفاد 53 بالمائة من المستجيبين ، ارتفاعًا من 50٪ في عام 2022 ، أنهم يفتقرون إلى الموظفين لنشر وصيانة البنية التحتية للمفاتيح العمومية الخاصة بهم.
يتم إنشاء شهادات KPI بشكل أسرع من تتبع الأنظمة الحالية
الشهادات الموثوقة داخليًا (أي الشهادات الصادرة من PKI الداخلي الخاص) زادت للعام الثالث على التوالي ، من 231،063 في عام 2021 إلى 255،738 في عام 2023. تكافح فرق PKI لإدارة هذه الأعداد المتزايدة من الشهادات ؛ لا يعرف 62٪ من المستجيبين عدد المفاتيح والشهادات التي يمتلكونها ، ارتفاعًا من 53٪ في عام 2021.
تحدث حالات الانقطاع الناتجة عن انتهاء صلاحية الشهادة في كثير من الأحيان ، مما يؤثر على العلاقات مع العملاء
تتوقف التطبيقات والخدمات عن العمل إذا انتهت صلاحية الشهادات بشكل غير متوقع. بالنسبة لـ 77٪ من المستجيبين ، وقعت حالتان من هذا النوع على الأقل خلال الـ 24 شهرًا الماضية. قال خمسة وخمسون بالمائة من المشاركين في الاستطلاع إن الانقطاعات المرتبطة بالشهادة تعطلت بشدة خدمات التعامل مع العملاء. ويقول نصفهم إن هذه الأحداث تسببت في اضطراب كبير للمستخدمين الداخليين أو مجموعة فرعية من العملاء.
تعد هويات الآلة جوهرية لعدم الثقة
يأتي التهديد الأسرع نموًا في العديد من المؤسسات اليوم من آلاف الهويات الآلية التي يتم إنشاؤها من خلال تنفيذ شبكات إنترنت الأشياء الجديدة وتوسيع الخدمات السحابية وإنشاء حاويات وأجهزة افتراضية جديدة لدعم DevSecOps.
يمثل الوقوف أمام هذا الواقع على نطاق واسع تحديًا يواجه مدراء تقنية المعلومات ومدراء المعلومات ، الذين غالبًا ما يفتقرون إلى خبير البنية التحتية للمفاتيح العمومية أو أي شخص متاح للتفرغ للعملية بدوام كامل.
لتحسين وضعية انعدام الثقة ، يجب على أي مؤسسة أن تبدأ باتباع نهج يعتمد على البيانات بشكل أكبر لإدارة البنية التحتية للمفاتيح العمومية وهويات الآلة على نطاق واسع.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.