什麼是金鑰？如何保護特權憑證？ - CyberArk

常用的CI/CD管道工具（例如Jenkins、 Ansible、Puppet和Chef等） 專為提高效率及速度而設計，但可能帶來新的安全挑戰。

這些自動組態管理工具需要金鑰來存取受保護的資源， ... Skiptocontent 為何選擇CyberArk為何選擇CyberArk前向安全性身份和存取管理 為何選擇CYBERARKCyberArkLabs業內頂尖人才積極研究攻擊及其趨勢，讓您始終領先 部落格借助洞見，讓您在數位世界勇往直前，無後顧之憂 職業機會我們的團隊充滿熱忱，並以作為深受世界頂級企業信任的顧問為榮，歡迎加入 金融 「CyberArk交付優質產品，領先業界。

」 閱讀個案研究  產品雲端身份安全組合以安全为首，而不失效率 探索产品组合特權特權存取管理供應商特權存取管理雲端權利管理器終端特權管理器存取工作隊伍身份客戶身分開發安全維運流程Conjur金鑰管理器（企業版）Conjur金鑰管理器（開源版）憑證提供者快速鏈接市場解決方案以業務計劃分類防禦攻擊防禦攻擊縱深防禦預防勒索軟體侵入保護開發維運流程和雲端原生應用程式符合審核和合規要求符合審核和合規要求驅動營運效率驅動營運效率保護雲端工作負載遠距員工存取助力開展數位業務助力開展數位業務產業銀行不負客戶信任，加強客戶參與 保險以安全數位創新，創造競爭優勢 醫療保健保持客戶信任，同時將勒索軟體和其他威脅拒於門外 聯邦確保機密資料僅有需要者能存取，其他人一概不可獲取 特權存取管理魔力象限Gartner，2021服務和支援我們如何幫助您？從策略到實行均有專人指導。

服務和支援客戶成功客戶故事CYBERARK藍圖成功計劃學習培訓認證學習資源服務安全服務紅隊服務修復服務資源技術社群技術支援產品技術文件試用後購買试用购买先開始30天試用。

開始試用如何購買評估、購買和更新CyberArk身份安全解決方案。

聯繫我們我們如何幫助您往前邁進而沒有後顧之憂？ 訂用身份安全進一步了解我們的訂用選擇。

申請示範 部落格夥伴市場職業機會MenuItem English Deutsch Français Italiano Español 日本語 简体中文 CYBERARK詞彙表> 金鑰管理 現今數位化企業的業務運作均須依賴商用、內部開發及開源應用程式，而且越來越多企業利用自動化IT基礎設施及開發維運方法加速開發及創新。

儘管不同組織的應用程式及IT環境有很大差異，但有一件事始終不變：每個應用程式、腳本、自動化工具及其他非人類身份都必須依賴某種形式的特權憑證來存取其他工具、應用程式與資料。

什麼是金鑰？ 非人類特權的憑證通常被稱為「金鑰」，即一條作為解鎖密鑰的私密資訊，用於解開工具、應用程式、容器、開發維運及雲端原生環境內受保護的資源或敏感資訊。

最常見的金鑰類型包括： 特權帳戶憑證 密碼 證書 SSH密鑰 API密鑰 加密密鑰 管理金鑰的主要挑戰 擁有金鑰存取權的非人類用戶可自動取得對該金鑰所有者任何資源的即時存取及許可權限。

網路攻擊者很清楚這一點，因此他們鎖定金鑰為目標，以便能夠未經授權即能存取其他金鑰和主機，進而達成其任務。

針對金鑰的網路攻擊經常會擴散至遠遠超出初始外洩的範圍。

金鑰的應用十分廣泛。

包括容器化應用程式（例如RedHatOpenShift、Kubernetes或Pivotal）內的嵌入式寫死憑證；自動化流程（例如AnsiblePlaybook、Puppet或Chef）；業務關鍵型應用程式，包括內部開發及商用現成解決方案（COTS）；安全軟體，例如漏洞掃描器；應用伺服器及IT管理軟體、機器人流程自動化（RPA）平台以及持續整合/持續部署（CI/CD）工具鏈。

自動化流程非常強大。

它們可存取受保護的資料、以無可比擬的速度擴縮、使用雲端資源及立即執行業務流程。

然而，如同廣泛報導的資安漏洞事件，自動化流程也容易遭受精密的網路攻擊，攻擊可能突然發生且迅速散播。

組織必須保護指派給非人類身份的金鑰，以防禦攻擊並降低風險。

什麼是金鑰管理？ 金鑰管理是數位化企業的資安最佳實踐做法，讓組織能夠統一實施非人類身份的安全政策。

金鑰管理可確保所有工具堆疊、平台和雲端環境上的資源只能由經過驗證及授權的實體存取。

以下措施通常包含於金鑰管理計劃內。

這些做法及技術許多也用於保護人類用戶的特權存取。

對所有使用非人類憑證的存取要求進行身份驗證。

實施。

實施以角色為基礎的存取控制（RBAC），並定期輪換金鑰和憑證。

自動管理金鑰並使用一致的存取政策。

追蹤所有存取並維護全面的稽核。

從程式碼、組態檔案及其他不受保護的區域刪除金鑰。

什麼是公共金鑰管理用例？ 保護CI/CD管道的金鑰管理。

常用的CI/CD管道工具（例如Jenkins、Ansible、Puppet和Chef等）專為提高效率及速度而設計，但可能帶來新的安全挑戰。

這些自動組態管理工具需要金鑰來存取受保護的資源，例如資料庫、SSH伺服器和HTTPs服務。

而這些金鑰通常以不安全的方式寫死或儲存在工具的組態檔案或程式碼內（例如JenkinsFiles、劇本、腳本或原始碼）。

有效的金鑰管理可讓組織從CI/CD管道內的開發維運工具中刪除這些被寫死的金鑰，同時提供完整的稽核追蹤、以政策為基礎的RBAC及金鑰輪換。

保護容器的金鑰管理。

開發維運與工程團隊越來越依賴容器來加速開發並提高可攜性及生產力。

容器需要金鑰來存取關鍵及敏感的資訊。

但是，由於容器是暫時性（或短期）的工具，可能不易追蹤，對特定資源的存取也難以管理及保護。

金鑰管理安全措施可讓團隊利用本機容器平台屬性驗證對金鑰的容器請求，並利用RBAC分層分級政策來管理金鑰。

管理彈性及自動擴縮環境的金鑰管理。

雲端供應商提供自動擴縮功能來支援彈性（短暫）以及按用量付費的經濟模式。

儘管這可提高效率，但也帶來了新的安全管理挑戰，尤其是可擴縮性方面的挑戰。

實施金鑰管理的最佳實踐做法，讓組織可以即時為主機分配身份並根據預先定義的安全政策對調用應用程式進行安全的驗證，而無需由人類操作員將政策手動套用至每個新主機。

保護內部開發應用程式及COTS應用程式的金鑰管理。

內部開發的應用程式與腳本以及第三方工具和解決方案（例如安全工具、RPA、自動化工具和IT管理工具等）通常需要跨企業基礎設施的高級別特權存取，才能完成其預定任務。

有效的金鑰管理實踐做法需要從內部開發的應用程式與腳本中刪除寫死憑證並集中儲存、管理及輪換所有金鑰，以將風險降至最低。

瞭解有關金鑰管理的更多資訊 CyberArkConjur主頁 CyberArk應用程式存取管理器解決方案頁面 認識及選擇金鑰管理平台 保護及管理商用現成（COTS）應用程式使用的特權憑證 其他詞匯 A AccessManagement ActiveDirectory AdaptiveMulti-FactorAuthentication(MFA) Application(App)Gateway AuthenticationAuthorization B BotSecurity C CI/CDPipeline CloudIAMPermissions CloudInfrastructureEntitlementsManagement(CIEM) CloudSecurity雲端安全 CustomerIdentityandAccessManagement(CIAM) CyberInsurance D DataBreach資料外洩 Defense-in-Depth DevOpsSecurity開發維運安全 DirectoryServices E EndpointSecurity終端安全 H HealthcareCybersecurity I IdentityandAccessManagement(IAM) IdentityasaService(IDaaS) IdentityLifecycleManagement IdentitySecurity J Just-In-TimeAccess即時存取 L LeastPrivilege最小特權 M Malware惡意軟體 MITREATT&CKFramework Multi-FactorAuthentication(MFA) O OperationalTechnology(OT)Cybersecurity P PasswordlessAuthentication PhishingAttack PrivilegedAccessManagement特權存取管理（PAM） R Ransomware勒索軟體 RemoteAccessSecurity RemoteWorkSecurity RoboticProcessAutomation機器人流程自動化（RPA） S SaaS SecretsManagement金鑰管理 SecurityAssertionMarkupLanguage(SAML) SecurityOperations SingleSign-On(SSO) T Third-PartyAccess U UserBehaviorAnalytics V VirtualDirectory Z ZeroTrust零信任 保持聯繫 了解最佳實踐做法、活動和網路研討會的最新消息 獲取詳情 職業機會 聯絡支援部門 Copyright©2022CyberArkSoftwareLtd.Allrightsreserved. 規定和條款 隱私條文