保障非人类身份的 OWASP 最佳实践

文章重点

• 非人类身份 (NHI) 的数量远超人类身份，安全风险潜藏其中。
• OWASP 发布了首个「非人类身份十大风险」清单，旨在提升NHI相关安全挑战的意识。
• 主要的安全挑战包括不当离职、秘密泄露等。
• 提供了一系列建议以降低这些风险。

非人类身份 (NHI) 在组织中占据了相当大的比例，其数量可能比人类身份高出 50 倍。为了应对由此带来的安全问题，OWASP提出了全新的「非人类身份十大风险」指南，帮助组织提高对 NHI 危险的意识并提供切实可行的对策。

根据估计，在每 1,000 个人类用户中，企业网络中可能拥有 10,000个非人类连接或凭证。当我们认识到凭证仍然是安全违规事件的主要攻击向量时，就能理解为什么这将成为问题。一旦认识到这一点，就会意识到信任的设置可能比想像中更具挑战性。

OWASP 的「非人类身份十大风险」包含了一些显著的安全挑战，下面是对其主要风险的说明和建议。

OWASP NHI 风险一：不当离职

员工、承包商和资源在组织中更换职位或离职后，往往会留下孤立的帐号和凭证。这种情况也发生在 NHI 上，往往涉及到与应用程式、服务、系统等的凭证无法及时清理。

这些孤立的 Kubernetes 服务帐号，或者是前员工利用未撤销的凭证进行特权提升，都是实际存在的风险。

对策

OWASP 建议实施标准化的离职流程，审查所有与离职员工或应用程序相关的 NHI。自动化离职步骤和定期审计活动可阻止潜在的滥用行为。

NHI 风险二：秘密泄露

第二大风险是秘密泄露，包括 API 键、令牌、加密密钥等。在过去的几年中，Codecov、Samsung 等诸多公开事件反映了这个问题的普遍性。

对策

为了降低秘密泄露的风险，建议使用临时凭证、部署秘密管理工具、自动化秘密检测和定期旋转密钥。

NHI 风险三：脆弱的第三方 NHI

第三方 NHI 可能在 IDE、扩展和 SaaS 应用程序中集成中发挥作用。2024 年，安全研究人员发现 Visual Studio Code市场的一些恶意扩展影响了数百万安装。

对策

为减少第三方 NHI 的风险，OWASP 建议对第三方整合进行审核，监控其行为，并优化凭证的使用。

NHI 风险四：不安全的身份验证

OWASP 强调开发者在内部和外部服务中的身份管理，不合规的身份验证可能导致安全隐患。它建议开发者采用标准化的协议，如 OAuth 2.1 和 OpenIDConnect。

对策

为防止不安全的身份验证风险，建议采取现代身份验证标准，整合无凭证方法并定期进行安全审计。

NHI 风险五：权限过多的 NHI

过多权限一直是身份和访问管理中的关键问题。虽然目前对零信任的关注日益增强，但权限过度问题仍然普遍存在。

对策

降低 NHI 过度权限的建议包括强制执行最小权限原则、定期