Neler insan dışı kimlik sayılır
İnsan dışı kimlik, bir kişiye ait olmayan her kimliğin şemsiye terimidir: Uygulamaları çalıştıran servis hesapları, servisleri birbirine bağlayan API anahtarları ve OAuth belirteçleri, bulut iş yükü kimlikleri, CI/CD hattı kimlik bilgileri, RPA botları ve giderek artan biçimde sistemler üzerinde özerk hareket eden yapay zekâ ajanları.
Terim, makine kimliğiyle büyük ölçüde örtüşür ve ikisi sıklıkla birbirinin yerine kullanılır. Bir ayrım yapıldığında makine kimliği, cihazların ve iş yüklerinin kimlik bilgilerini — sertifikalar ve anahtarlar — vurgular; NHI ise botlar, entegrasyonlar ve yapay zekâ ajanları gibi yazılım aktörlerini de kapsayan daha geniş yönetişim çerçevesidir.
Kategoriyi birleştiren şey davranıştır: NHI'ler bir insan olmadan kimlik doğrular, günün her saati çalışır ve hiçbir yöneticinin günlük iş akışında görmediği kalıcı izinler taşır.
NHI'ler neden büyüyen bir risk
NHI'ler genellikle çalışan sayısını kat kat aşar; buna rağmen güvenlik ilgisinin çok küçük bir bölümünü alır. Nadiren MFA'ları vardır, kimlik bilgileri çoğu zaman uzun ömürlüdür ve ortamlar arasında paylaşılır; bir kez verilmiş ve bir daha gözden geçirilmemiş geniş izinler taşırlar. Bir entegrasyon kullanımdan kaldırıldığında kimlik bilgileri genellikle yaşamaya devam eder.
Son yıllardaki birçok önemli ihlal, ele geçirilen bir NHI ile başladı — sızan bir belirteç, aşırı ayrıcalıklı bir OAuth entegrasyonu veya unutulmuş bir servis hesabı — çünkü bu kimlikler, insan davranışına göre ayarlanmış uyarıları tetiklemeden kalıcılık sağlar.
Denetçiler ve çerçeveler açığı kapatıyor: Bir zamanlar yalnızca kullanıcı hesaplarına uygulanan erişim gözden geçirme, en az ayrıcalık ve yaşam döngüsü gereksinimlerinin artık servis hesaplarını ve entegrasyonları da kapsaması bekleniyor; özerk yapay zekâ ajanlarının yükselişi bu incelemeyi hızlandırıyor.
Pratikte NHI yönetişimi
Yönetişim keşif ve sahiplikle başlar: Servis hesaplarının, anahtarların, belirteçlerin ve entegrasyonların envanterini çıkarın ve her biri için adı belli bir insan sahibi zorunlu kılın. Sahibi olmayan bir NHI gözden geçirilemez, yenilenemez ve güvenle emekliye ayrılamaz.
Ardından insanlar için kullanılan disiplini makinelere uyarlayarak uygulayın: Geniş yönetici rolleri yerine en az ayrıcalıklı kapsam, kalıcı gizli anahtarlar yerine planlı kimlik bilgisi rotasyonu veya kısa ömürlü kimlik bilgileri, bağlı olduğu uygulama kullanımdan kalktığında NHI'yi sonlandıran yaşam döngüsü kuralları ve periyodik erişim gözden geçirmelerine dahil etme. İzleme; bir NHI'nin aniden yeni kaynaklara erişmesi veya beklenmedik yerlerden kimlik doğrulaması gibi anomalileri işaretlemelidir.
Kimlik platformları bu yönde genişliyor; Monosign gibi platformlar servis hesaplarını insan kimlikleriyle aynı dizin, politika ve gözden geçirme çerçevesine alabilir.