从使用 SSH 密钥迁移到无密钥的即时访问，SSH 零信任解决方案

在当今典型的企业环境中，手动执行日常任务会消耗时间和金钱，还容易出错。 拥有大型环境的企业通常使用自动化编排工具（例如 Ansible、Puppet 和 BMC TrueSight）来简化软件配置、配置管理和应用程序部署。

编排工具虽然有助于简化大型环境中的任务，但是会使环境复杂化，因为它们使 用 SSH 密钥作为访问凭据。

我们会分析编排工具的固有风险，以及如何通过从使用SSH密钥迁 移到无密钥的即时访问来解决这些风险。

编排工具通常使用 SSH 密钥来访问目标

编排工具利用控制节点来管理日常任务。控制节点管理目标清单节点，以便自动 执行标准任务，例如配置调配新系统、部署软件和管理更新。

为了确保所使用的通信通道的安全性并验证变更请求的真实性，编排工具使用 SSH密钥作为访问凭据。在大型环境中，这相当于每次加入新目标时都需要配置 SSH密钥，配置的SSH密钥还需要定期轮换。定期轮换数千个密钥方能满足监管 要求。

然而，SSH密钥依赖于公钥加密技术，这是比密码更安全的访问凭据，但也存在 重大的固有风险。例如：

1. SSH 密钥提供轻松的横向移动和特权提升。
2. SSH 密钥可以轻松复制。
3. SSH 密钥永不过期且无法集中撤销。

随着时间的推移，在大型环境中管理SSH密钥会成为一种负担，因为管理数千个 甚至数百万个SSH密钥会非常耗时且占用大量资源。

通过迁移到无密钥的即时短暂访问来降低 SSH 密钥的风险

针对上述风险和挑战都有一个解决方案⸺从使用SSH密钥迁移到使用由临 时、短期证书支持的无密钥即时访问。

SSH零信任解决方案是一个全面的管理机密和访问的平台，为自动化工具已在 使用的现有访问凭据和新访问提供迁移路径。所有这些都按照大型 IT 环境所要 求的效率完成。

您可以使用短期证书，而不是使用SSH密钥作为自动化工具（例如Ansible）的默 认访问凭据。下面是使用 Ansible 的传统访问和现代无密钥访问的示例比较。

传统 Ansible 访问

在默认情况下，Ansible 使用 SSH 密钥来实现对所管理节点的访问。这些凭据的 分发和配置必须在 Ansible 运行之前完成。

现代无密钥访问

SSH密钥依赖于公钥加密技术，与密码等其他常设凭据相比，它们在安全性方面 更胜一筹。易用性也是SSH密钥如此广泛使用的原因之一。然而，这种广泛的使 用也加剧了SSH密钥的固有风险，并增加了维护需求。

代替SSH密钥，可行的解决方案是将密钥替换为短期证书，在需要时生成，可即时访问。与 SSH 密钥相比：

1. 证书身份验证不需要在目标节点上配置访问凭据。
2. 只有在验证请求访问的用户身份后，才会授予访问权限。
3. 生成的访问授予证书有效期为几分钟，如果凭据被导出并随后被泄露，该证书就无法使用。

利用 SSH 零信任套件进行无密钥访问。 Ansible 等编排工具使用 SSH 密钥连接到零信任套件。 用户（人和机器）也连接到零信任套件，该套件通过与 AD/AAD/IDP 集成来验证其角色。零信任套件利用短期证书连接到数千台服务器。

从使用SSH密钥到短期证书的迁移过程被设计为完全自动化，并且对于使用 SSH访问的最终用户或应用程序来说是透明的。自动化旨在发现和创建使用 SSH密钥访问的清单，并识别SSH密钥及其信任关系。它会自动执行任何必要的 配置，以促进从长期访问凭据迁移到使用短期证书。在单一管理平台下，一切都 清晰可见。此过程的透明度保证无需修改现有基础架构、脚本或集成。

为什么要使用 SSH 零信任套件进行无密钥访问？

您还在轮换SSH密钥和密码吗？

您是否管理您的所有凭据？

使用SSH零信任套件摆脱密码和密钥吧!