Makine kimlikleri nedir
İnsanlar kim olduklarını kullanıcı adları ve parolalarla kanıtladığı gibi, makineler de kendi kimlik bilgileriyle kanıtlar: Sunucuları doğrulayan TLS sertifikaları, yönetim bağlantılarını güvence altına alan SSH anahtarları, servislerin birbirini çağırmasını sağlayan API anahtarları ile OAuth istemci kimlik bilgileri ve uygulamaların altında çalıştığı servis hesapları.
Kategori fiziksel ve sanal her şeyi kapsar — sunucular, konteynerler, sanal makineler, IoT cihazları, RPA botları ve sunucusuz fonksiyonların tamamı kimlik taşır. Bulut yerlisi ortamlarda hızla çoğalırlar: Tek bir dağıtım, her biri veritabanları, kuyruklar ve API'lerle konuşmak için kimlik bilgisine ihtiyaç duyan onlarca kısa ömürlü iş yükü oluşturabilir.
Çoğu kuruluşta makine kimlikleri artık insan kimliklerini büyük farkla, genellikle on kat veya daha fazla geride bırakır ve yaşam döngüleri iş yüküne bağlı olarak dakikalardan yıllara kadar değişir.
Makine kimliği neden önemlidir
Makine kimlik bilgileri insanlarınkinden farklı şekilde sorun çıkarır. Süresi dolan bir TLS sertifikası üretim servisini anında devre dışı bırakabilir; büyük şirketlerdeki birçok yüksek profilli kesintinin izi tam olarak buna çıkmıştır. Sızan bir API anahtarı ise saldırgana, önünde hiçbir MFA engeli olmadan sessiz programatik erişim verir.
Makine kimlikleri, insanların tabi olduğu yönetişimden de kaçar. Bir servis hesabının erişimini onaylayacak bir yönetici, hizmet ettiği uygulama kullanımdan kaldırıldığında bir ayrılış olayı yoktur; kaynak kodu depolarına işlenen gizli anahtarlar yıllarca geçerli kalır. Saldırganlar herkese açık depoları tam da bu kimlik bilgileri için aktif olarak tarar.
Kuruluşlar sertifika ömürlerini kısalttıkça ve denetçiler erişim gözden geçirme beklentilerini servis hesaplarına genişlettikçe, yönetilmeyen makine kimliği niş bir endişe olmaktan çıkıp yaygın bir denetim ve erişilebilirlik riskine dönüşüyor.
Pratikte makine kimliklerinin yönetimi
İlk adım envanterdir: Halihazırda var olan sertifikaları, anahtarları, servis hesaplarını ve API kimlik bilgilerini keşfetmek ve her birine sorumlu bir insan sahibi atamak. Sahiplik olmadan süre dolma sürprizleri ve sahipsiz kimlik bilgileri kaçınılmazdır.
Oradan itibaren yaşam döngüsünü otomatikleştirin. Sertifikalar elektronik tablolarda takip edilmek yerine otomatik olarak verilmeli ve yenilenmeli; gizli anahtarlar bir kasada tutulmalı ve planlı olarak dönüştürülmeli; platform izin verdiği her yerde uzun ömürlü statik kimlik bilgileri yerine kısa ömürlü, dinamik olarak verilen kimlik bilgileri tercih edilmelidir. Her kimliğe yalnızca işlevinin gerektirdiği izinleri verin ve servis hesaplarını insan hesaplarıyla birlikte erişim gözden geçirmelerine dahil edin.
Kimlik platformları yönetişimi bu alana genişletmeye başlıyor; Monosign gibi platformlar servis hesabı kimliklerini insan kimlikleriyle birlikte aynı dizin ve politika çerçevesinde yönetebilir.