Khi danh tính máy móc bùng nổ trong các môi trường điện toán đám mây, các doanh nghiệp báo cáo mức tăng năng suất đáng kể từ việc loại bỏ các thông tin xác thực tĩnh. Và chỉ có các hệ thống cũ còn lại là mắt xích yếu.
Trong nhiều thập kỷ, các tổ chức đã dựa vào các static secrets, chẳng hạn như API keys, passwords và tokens, làm định danh duy nhất cho các workload. Mặc dù cách tiếp cận này cung cấp khả năng truy vết rõ ràng, nhưng nó tạo ra cái mà các security researcher mô tả là "cơn ác mộng vận hành" với việc quản lý vòng đời thủ công, lịch trình xoay vòng và rủi ro rò rỉ credential liên tục.
Thách thức này theo truyền thống đã thúc đẩy các tổ chức hướng tới các giải pháp quản lý secret tập trung như HashiCorp Vault hoặc CyberArk, vốn cung cấp các universal brokers cho secrets trên các nền tảng. Tuy nhiên, những cách tiếp cận này duy trì vấn đề cơ bản: sự gia tăng các static secrets đòi hỏi quản lý và xoay vòng cẩn thận.
"Việc có một workload trong Azure cần đọc dữ liệu từ AWS S3 không lý tưởng từ góc độ bảo mật," một DevOps engineer quản lý môi trường multicloud giải thích. "Độ phức tạp của cross-cloud authentication và authorization khiến việc thiết lập này an toàn trở nên khó khăn, đặc biệt nếu chúng ta chọn cấu hình đơn giản workload Azure bằng AWS access keys."
Lý do kinh doanh cho sự thay đổi
Các nghiên cứu điển hình của doanh nghiệp ghi lại rằng các tổ chức triển khai Managed Identities báo cáo giảm 95% thời gian dành cho việc quản lý credentials trên mỗi thành phần ứng dụng, cùng với việc giảm 75% thời gian dành cho việc tìm hiểu các cơ chế authentication dành riêng cho nền tảng, giúp tiết kiệm hàng trăm giờ mỗi năm.
Nhưng làm thế nào để tiếp cận quá trình chuyển đổi này, và điều gì ngăn cản chúng ta loại bỏ hoàn toàn các static secrets?
Các giải pháp tích hợp nền tảng
Managed Identities đại diện cho một sự thay đổi mô hình từ phương pháp "bạn có gì" truyền thống sang phương pháp "bạn là ai". Thay vì nhúng các static credentials vào ứng dụng, các nền tảng hiện đại cung cấp các dịch vụ identity cấp các credentials có thời gian tồn tại ngắn, tự động xoay vòng cho các workload đã được authenticate.
Sự chuyển đổi này trải dài trên các nhà cung cấp dịch vụ đám mây lớn:
- Amazon Web Services đã đi tiên phong trong việc cung cấp credential tự động thông qua IAM Roles, nơi các ứng dụng nhận được quyền truy cập tạm thời một cách tự động mà không cần lưu trữ các static keys.
- Microsoft Azure cung cấp Managed Identities cho phép các ứng dụng authenticate với các dịch vụ như Key Vault và Storage mà các developer không phải quản lý connection strings hoặc passwords.
- Google Cloud Platform cung cấp Service Accounts với khả năng cross-cloud, cho phép các ứng dụng authenticate liền mạch trên các môi trường đám mây khác nhau.
- GitHub và GitLab đã giới thiệu authentication tự động cho các development pipelines, loại bỏ nhu cầu lưu trữ cloud access credentials trong các công cụ phát triển.
Thực tế lai
Tuy nhiên, thực tế phức tạp hơn. Các chuyên gia bảo mật nhấn mạnh rằng Managed Identities không giải quyết mọi thách thức authentication. Các third-party API vẫn yêu cầu API keys, các legacy systems thường không thể tích hợp với các identity providers hiện đại, và cross-organizational authentication vẫn có thể yêu cầu shared secrets.
"Sử dụng một secret manager cải thiện đáng kể security posture của các hệ thống dựa vào shared secrets, nhưng việc sử dụng quá nhiều lại duy trì việc sử dụng shared secrets thay vì sử dụng strong identities," theo các identity security researcher. Mục tiêu không phải là loại bỏ hoàn toàn secret managers, mà là giảm đáng kể phạm vi của chúng.
Các tổ chức thông minh đang chiến lược giảm 70-80% secret footprint của họ thông qua Managed Identities, sau đó sử dụng secret management mạnh mẽ cho các trường hợp sử dụng còn lại, tạo ra các resilient architectures tận dụng những điều tốt nhất của cả hai thế giới.
Thách thức khám phá danh tính phi con người (Non-Human Identity)
Hầu hết các tổ chức không có khả năng hiển thị về landscape credentials hiện tại của họ. Các IT teams thường phát hiện hàng trăm hoặc hàng nghìn API keys, passwords và access tokens nằm rải rác trong infrastructure của họ, với quyền sở hữu và mô hình sử dụng không rõ ràng.
"Bạn không thể thay thế những gì bạn không nhìn thấy," Gaetan Ferry, một security researcher tại GitGuardian giải thích. "Trước khi triển khai các hệ thống identity hiện đại, các tổ chức cần hiểu chính xác những credentials nào tồn tại và chúng đang được sử dụng như thế nào."
Nền tảng NHI (Non-Human Identity) Security của GitGuardian giải quyết thách thức khám phá này bằng cách cung cấp khả năng hiển thị toàn diện về các secret landscapes hiện có trước khi triển khai Managed Identity.
Nền tảng này khám phá các API keys, passwords và machine identities ẩn trên toàn bộ infrastructure, cho phép các tổ chức:
- Map các dependencies giữa các services và credentials.
- Xác định các migration candidates sẵn sàng cho chuyển đổi Managed Identity.
- Đánh giá rủi ro liên quan đến việc sử dụng secret hiện tại.
- Lập kế hoạch di chuyển chiến lược thay vì chuyển đổi mù quáng.
