什么是机密管理？

机密管理是组织、管理和保护 IT 基础设施机密的过程。它允许组织安全地存储、传输和审核机密。机密管理可保护密码免受未经授权的访问，并确保组织的系统正常运行。机密管理程序是一种安全的存储系统，是 IT 基础设施中使用的特权凭据、API 密钥和其他高度敏感信息的单一真实来源。

继续阅读以了解有关机密管理的更多信息，以及您可以采取哪些措施来保护您公司的数据环境。

什么是机密？

在 IT 数据环境中，机密是非人类特权凭据，通常是系统和应用程序用于身份验证或作为加密算法输入的凭据。机密允许应用和系统相互传输数据和请求服务。它们可解锁包含高度敏感信息和特权系统的应用、服务和 IT 资源。

常见的机密类型包括：

非人类登录凭据
数据库连接字符串
加密密钥
云服务访问凭据
应用程序编程接口 (API) 密钥
访问令牌
SSH（安全外壳）密钥

为什么机密管理很重要？

机密管理是一种网络安全最佳实践，用于持续强制非人类身份验证凭据的安全策略，确保只有经过身份验证和授权的实体才能访问包含机密数据以及高度敏感的应用和系统的资源。使用机密管理工具，组织可以了解机密所在位置、谁可以访问机密以及机密的使用方式。

随着组织发展，IT 和 DevOps 团队遇到一个称为机密扩散的问题。当组织有太多机密需要管理，并且这些机密分布在整个组织中，使用不安全的方法存储在不安全的位置时，就会发生这种情况。如果没有集中的机密管理策略或工具，组织内的每个团队将独立管理其机密，这可能导致机密管理不当。同时，IT 管理员缺乏对这些机密的存储和使用的集中可见性、可审计性和控制。

机密管理最佳实践

由于机密数据如此之多，对于某些组织来说，仅 – SSH 密钥就有数千个，因此必须使用像 Keeper Secrets Manager^® 这样的机密管理器。使用机密管理工具将确保机密存储在一个加密位置，允许组织轻松跟踪、访问、管理和审核其机密。

但是，技术工具只能做这么多！除了实施机密管理程序外，组织还应遵循机密管理最佳实践。

管理权限和授权用户

在使用机密管理解决方案集中和保护您的机密后，下一步是确保只有经过授权的人员和系统才能访问它们。这可通过基于角色的访问控制 (RBAC) 实现。RBAC 基于用户在组织内的工作职能定义角色和权限，以限制对授权用户的系统访问。 RBAC 可帮助防止未经授权的用户访问机密。

组织还需要管理这些机密的特权，因为它们可访问高度敏感的数据。如果特权管理不当，组织很容易以内部威胁和网络犯罪分子在其网络内横向移动的形式滥用特权。他们应该实施最低特权访问权限 -- 这是一种网络安全概念，允许用户和系统对敏感资源的访问权限仅够以完成其工作，而无多余权限。管理特权和实施最低特权访问的最佳方法是使用特权访问管理 (PAM) 工具。

轮换机密

许多组织将使用静态机密，从而允许过多的用户随着时间的推移访问它们。为防止机密被泄露和滥用，组织应定期按照预先确定的时间表轮换机密，以限制其使用期限。轮换机密限制了用户访问机密的时间，从而给他们足够的访问权限来完成其工作。它防止因疏忽或恶意用户而意外泄露机密。组织还应使用唯一的强密码和多因素身份验证来保护机密。

区分机密和标识符

组织需要收集其组织内的每个机密，以确保它们免受未经授权的访问。但是，组织在收集机密时需要区分机密和标识符。

标识符是身份访问管理 (IAM) 系统或其他实体引用数字身份的方式。用户名和电子邮件地址是标识符的常见示例。标识符通常可在组织内部甚至外部自由共享。它们用于授予对组织资源和系统的通用访问权限。

相反，机密为高度保密。如果机密被泄露，威胁行为者可以使用它来访问高特权系统，组织就可能会遭受重大甚至灾难性的损失。必须严格监控和控制机密，以防止未经授权访问敏感数据和系统。