Der Lebenszyklus der nicht-menschlichen Identität (NHI) ist die durchgängige Verwaltung nicht-menschlicher Identitäten und der sie repräsentierenden Anmeldedaten, von der Erstellung bis zur Außerbetriebnahme. Dazu gehören die sichere Provisionierung, Zugriffssteuerung, kontinuierliche Überwachung und kontrollierte Außerbetriebnahme von Service-Accounts, API-Keys, Tokens, Zertifikaten und KI-Agenten.
Warum die NHI-Lebenszyklusverwaltung wichtig ist
Untersuchungen in der gesamten Identitätslandschaft zeigen, dass nicht-menschliche Identitäten in durchschnittlichen Unternehmensumgebungen heute menschliche Benutzer um den Faktor 50 zu 1 übertreffen. Dennoch verwalten viele Organisationen diese Anmeldedaten nur als Nebensache, wenn überhaupt.
Das Problem ergibt sich aus der Art und Weise, wie Maschinen-Identitäten erstellt werden. Menschliche Mitarbeiter kommen über HR-Systeme in Unternehmen, die Provisionierungs-Workflows, Zugriffsprüfungen und Offboarding-Prozesse auslösen. Maschinen-Anmeldedaten erscheinen, wenn ein Entwickler die Infrastruktur hochfährt, wenn CI/CD-Pipelines Code bereitstellen, oder wenn Automatisierungsskripte Zugriff benötigen. Oft gibt es keinen konsistenten Lebenszyklusprozess, um diese Anmeldedaten nachzuverfolgen, und es gibt keinen zuverlässigen Auslöser, um sie zurückzuziehen, wenn sie nicht mehr benötigt werden.
Diese Lücke schafft ein dauerhaftes Sicherheitsrisiko. Laut den Top 10 der OWASP Non-Human Identities wird unsachgemäßes Offboarding durchweg als das kritischste Risiko eingestuft. Service-Accounts haben noch Monate nach Ablauf Zugriff auf die Produktion. API-Keys verbleiben in verlassenen Programmcode-Repositorys, und Anmeldedaten, die für temporäre Projekte bereitgestellt wurden, bleiben auf unbestimmte Zeit aktiv.
Was unterscheidet Computeranmeldedaten
Nicht-menschliche Identitäten fehlen die Sicherheitsmechanismen, die menschliche Benutzer schützen:
- Multifaktor-Authentifizierung (MFA): Statt interaktiver MFA stützt sich das NHI-Management auf nicht-interaktive Kontrollen, wie z. B. zertifikatsbasierte Authentifizierung und Workload-Identitätsverbund. In einigen Umgebungen verifiziert eine hardware- oder plattformgestützte Bescheinigung die Integrität eines Workloads, bevor der Zugriff gewährt wird.
- Geplante Zugriffsprüfungen: Mitarbeiter werden oft vierteljährlich zertifiziert, aber Maschinen-Anmeldedaten werden selten formell überprüft. NHI-Berechtigungen können sich im Laufe der Zeit ansammeln, was zu überprivilegierten Zugriffen führt (NHI 5:2025).
- Natürliche Beendigungspunkte: Der Zugang für Personen endet mit dem Ende des Arbeitsverhältnisses. Computeranmeldedaten haben keinen gleichwertigen Auslöser. Wenn ein Projekt abgeschlossen ist, bleiben die zugehörigen Anmeldedaten oft als „Zombie“ -Anmeldedaten aktiv.
Die Lücke im Lebenszyklus: Menschliche und nicht-menschliche Identitäten.
Herkömmliche Ansätze für das Identitäts- und Zugriffsmanagement (IAM) wurden nicht für Maschinenanmeldeinformationen entwickelt. Hier ist, wie sie sich vergleichen:
Aspekt | Lebenszyklus der menschlichen Identität | Lebenszyklus nichtmenschlicher Identität |
|---|---|---|
Auslöser für die Erstellung | Das HR-System initiiert die Provisionierung. | Entwickler oder Skripte erstellen Anmeldedaten auf Abruf. |
Zugriffsprüfungen | Vierteljährliche Zertifizierungen erforderlich. | Selten überprüft; Berechtigungen bleiben bestehen. |
Beendigung | Automatisch bei Beendigung des Arbeitsverhältnisses | Kein Auslöser; Anmeldedaten vergessen. |
Authentifizierung | MFA (FIDO, Biometrie) | mTLS, Certificate-based Authentifizierung, Workload-Identitätsverbund und automatische Rotation der Anmeldedaten. |
Workload Identity Management: Ein spezialisierter Schwerpunkt
Workload Identity Management (WIM) befasst sich mit einer bestimmten Untergruppe nichtmenschlicher Identitäten. Der NHI-Lebenszyklus umfasst alle Computeranmeldedaten (einschließlich statischer API-Key für SaaS von Drittanbietern). WIM zielt auf die Identitäten ab, die laufenden Softwarekomponenten wie Containern, virtuellen Maschinen und serverlosen Funktionen zugewiesen sind.
WIM-Plattformen erkennen kontinuierlich Workload-Identitäten, während sie erstellt werden, und setzen Least Privilege-Richtlinien in dynamischen Umgebungen durch. Dies ist besonders wichtig in Kubernetes-Clustern, wo Pods automatisch skaliert werden, oder in serverlosen Architekturen, wo Funktionen möglicherweise nur wenige Sekunden existieren.
Die vier Phasen des NHI-Lebenszyklus
Effektives Lebenszyklusverwaltung verknüpft die Lebensdauer jeder Berechtigung mit ihrem Zweck.
Phase 1: Erkennung und Bewertung
Vor der Verwaltung von Maschinenidentitäten benötigen Security-Teams vollständige Transparenz. Dieser Erkennungsprozess muss kontinuierlich laufen, um die Anmeldedaten zu berücksichtigen, die Entwickler täglich erstellen.
Inventar der Entdeckungsaktivitäten:
- Service-Accounts auf Cloud-IAM-Plattformen und Active Directory.
- API-Schlüssel und Tokens im Quellcode, CI/CD-Tools und Entwickler-Rechnern
- Workload-Identitäten für Container, Kubernetes und serverlose Ressourcen
- Anmeldedaten für die Integration, einschließlich OAuth-Apps und Webhooks von Drittanbietern
Phase 2: Aktives Management und Governance
Erkennung führt zur Implementierung von richtliniengesteuerten Kontrollen:
- Identität in Infrastructure-as-Code (IaC) einbetten: Die Definition eines Dienstkontos in derselben Konfiguration (z. B. Terraform), die die Anwendung erstellt, stellt sicher, dass die Identität automatisch widerrufen wird, wenn die Ressource zerstört wird.
- Ersetzen Sie statische Geheimnisse durch dynamische Anmeldedaten: Der Übergang zu kurzlebigen, Just-in-Time-Anmeldedaten, die über einen Identitätsverbund oder einen Token-Austausch ausgestellt werden, stellt sicher, dass der Zugriff automatisch abläuft.
- Explizite Inhaberschaft durchsetzen: Jede Maschinenidentität erfordert einen bestimmten menschlichen „Sponsor“ (in der Regel ein DevOps- oder Plattformingenieur), der für ihren Lebenszyklus verantwortlich ist.
- Standardisieren Sie die Bereitstellungs-Workflows: Automatisierte Genehmigungs-Gates verhindern eine unkontrollierte Verbreitung von Anmeldedaten. Wenn ein Entwickler über IAC ein neues Service-Account anfordert, bewerten automatisierte Richtlinien die Anfrage vor der Provisionierung anhand der Unternehmensstandards.
- Implementieren Sie die Automatisierung der Durchsetzung von Richtlinien als Code: Policy-Engines bewerten kontinuierlich Maschinenidentitäten, um die Einhaltung der Vorschriften sicherzustellen. Wenn die Berechtigungen eines Dienstkontos den genehmigten Geltungsbereich überschreiten, werden durch die automatische Behebung überflüssige Rechte entzogen.
Phase 3: Kontinuierliche Überwachung und Durchsetzung
Das Verhalten der Maschine ist programmatisch und vorhersehbar. Anomalien dienen als Sicherheitssignale für die automatisierte Durchsetzung:
- Automatisierte Rotationszyklen: Die Anmeldedaten sollten automatisch nach Zeitplänen aktualisiert werden, die ihrem Risikoprofil entsprechen, ohne dass der Service unterbrochen wird.
- Verhaltens-Anomalieerkennung: Systemgesteuerte Reaktionen werden aktiviert, wenn ein Service-Account auf eine neue Cloud-Region zugreift oder eine ungewöhnlich große Datenmenge verwendet.
- Umfassende Audit-Trails: Der Lebenszyklusprozess protokolliert jedes Event, von der Erstellung und Genehmigung bis zu allen Zugriffsversuchen und der Deaktivierung. Dies unterstützt forensische Untersuchungen und Compliance-Anforderungen wie SOC 2, ISO 27001 und HIPAA, wenn es um geschützte Gesundheitsinformationen geht.
Phase 4: Behebung und Deaktivierung
Die letzte Phase konzentriert sich auf die sichere Ausmusterung von Identitäten, um die Angriffsfläche zu verkleinern:
- Inaktivitätsbedingte Sperrung: Das System deaktiviert automatisch Anmeldedaten, die innerhalb eines definierten Zeitraums (z. B. 30 Tage) nicht authentifiziert wurden.
- Sicherheitsprotokolle für den „Brownout“-Vorgang: Vor der endgültigen Löschung wird eine 24-stündige Quarantänephase durchgeführt, um sicherzustellen, dass keine kritischen Abhängigkeiten bestehen.
- Incident Response-Automatisierung: Wenn eine Maschinenidentität gefährdet ist, rotieren automatisierte Workflows sofort Geheimnisse oder wechseln zu einer Standby-Workload-Identität, wodurch die Servicekontinuität aufrechterhalten und gleichzeitig die Bedrohung isoliert wird.
Unterstützung der Einhaltung von Anforderungen
Das NHI-Lebenszyklusverwaltung befasst sich direkt mit mehreren Compliance-Mandaten:
- Zugriffszertifizierung: Automatisierte vierteljährliche Überprüfungen übermitteln die Identität jeder Maschine ihrem jeweiligen Eigentümer zur Neuzertifizierung. Die Eigentümer müssen bestätigen, dass die Anmeldedaten weiterhin erforderlich und entsprechend privilegiert sind, oder die Stilllegung genehmigen.
- Durchsetzung des Prinzips der minimalen Rechte: Eine kontinuierliche Bewertung der Richtlinien hilft sicherzustellen, dass nur die minimal erforderlichen Berechtigungen erteilt werden. Automatisierte Warnmeldungen markieren Privilegienausweitungen, bevor Prüfer sie entdecken.
- Auditbereitschaft: Umfassende Protokollierung liefert die Nachweise, die Prüfer benötigen: Wer die einzelnen Anmeldedaten erstellt hat, worauf sie zugreifen, wann sich die Berechtigungen geändert haben und warum die Anmeldeinformationen noch existieren.
- Regulatory Reporting: Automatisierte Berichte belegen die Einhaltung von Frameworks wie SOC 2 (Zugriffskontrollen), ISO 27001 (Identity-Management), GDPR (Datenzugriffsverfolgung) und HIPAA (Audit-Trail-Anforderungen).
Abstimmung mit Sicherheits-Frameworks
Branchenspezifische Framework erkennen zunehmend an, dass nichtmenschliche Identitäten eine spezielle Verwaltung erfordern:
- NIST Zero-Trust-Architektur (SP 800-207): Das Zero-Trust-Modell behandelt Nicht-Personen-Entitäten (NPEs) so, als ob sie dieselbe kontinuierliche Überprüfung erfordern wie menschliche Benutzer. Der Standort im Netzwerk bietet keine Grundlage für Vertrauen. Alle Zugriffsanfragen müssen kontextbezogen authentifiziert und autorisiert werden.
- CIS-Kontrollen (Version 8.1): Die Version 8.1 des Center for Internet Security (CIS) beinhaltet die „Govern“-Funktion, um die aktive Account Management zu betonen. Control 5.1 verlangt ausdrücklich die Erstellung eines Inventars der Konten, während Control 5.3 die Deaktivierung inaktiver Konten vorschreibt, um die Angriffsfläche zu verringern.
- Identity fabric and Identity-First-Sicherheit: Gartner befürwortet, Identity als eine einheitliche Struktur zu behandeln, die menschliche Benutzer, maschinelle Anmeldedaten und KI-Agenten mit konsistenter Durchsetzung von Richtlinien für alle Identitätstypen umfasst.
Häufig gestellte Fragen
Wie unterscheidet sich NHI Lebenszyklusverwaltung von Secrets Management?
Secrets-Management bezieht sich auf die sichere Aufbewahrung (wo sich der Schlüssel befindet). NHI-Lebenszyklusverwaltung bezieht sich auf Governance (warum der Schlüssel existiert, wem er gehört und wann er gelöscht werden sollte).
Können Maschinen die Multifaktor-Authentifizierung verwenden?
Statt interaktiver MFA verwenden Maschinen eine Certificate-based Authentifizierung (mTLS), hardwaregestützte Attestierung oder einen OIDC-basierten Workload-Identitätsverbund, bei dem die Umgebung einen kryptografisch signierten Identitätsnachweis liefert.
Wem gehört das maschinelle Identitätsmanagement?
Die Zuständigkeit umfasst in der Regel DevOps (Erstellung), Sicherheitsrichtlinie und Platform Engineering (Infrastruktur). Der effektivste Ansatz besteht darin, jedem Zertifikat einen bestimmten menschlichen „Sponsor“ zuzuweisen.
Schutz nicht-menschlicher Identities im großen Maßstab
Die Okta Identity Platform erweitert das umfassende Lebenszyklusmanagement und die Durchsetzung von Richtlinien auf maschinelle Anmeldedaten und menschliche Benutzer. Automatisierte Erkennung, richtliniengesteuerte Steuerung und kontinuierliche Überwachung schützen nicht-menschliche Identitäten in Cloud-, SaaS- und Hybridumgebungen.
