網(wǎng)絡(luò)安全聯(lián)絡(luò)員、技術(shù)/站點(diǎn)可靠性工程師（SRE）DevOps團(tuán)隊(duì)、業(yè)務(wù)流程責(zé)任人、應(yīng)用程展到不僅包括人類身份，還包括機(jī)器身份，如設(shè)備、數(shù)字工作負(fù)載和RPA機(jī)器人。本文件如：個(gè)人、組織、設(shè)備、硬件、網(wǎng)絡(luò)、軟件、工作負(fù)載或服務(wù)（來源：NISTSP800-63）。通過驗(yàn)證身份的憑證（如口令、密鑰、證書）身份屬性可包括姓名、電子郵件地址、IP地址或其他識別特征。人類身份與個(gè)人相關(guān)聯(lián)，設(shè)備身份與筆記本電腦、智能手機(jī)和服務(wù)器等物理設(shè)備以及物聯(lián)網(wǎng)等運(yùn)營技術(shù)（T）設(shè)備相關(guān)聯(lián)。這些身份可用于對訪問設(shè)備的資源和應(yīng)用程序的行為進(jìn)行驗(yàn)證和授權(quán)。數(shù)字身份與工作負(fù)載、服務(wù)、應(yīng)用程序、虛擬機(jī)、容器、云、RPAAPI等數(shù)字機(jī)器身份是數(shù)字身份，可以使用對稱或非對稱加密密鑰、令牌或通行密鑰（FIDO聯(lián)盟制定的一種旨在消除口令的技術(shù)）WEB服務(wù)器證書、客戶端證書、SSH主機(jī)密鑰和SSH主機(jī)證書。對稱密鑰加密只使用一個(gè)密鑰，而不是一個(gè)密鑰對。機(jī)器身份使用對稱密鑰的例子包括API密鑰、令牌和共享秘密。機(jī)器身份的概念起源于早期的計(jì)算機(jī)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的復(fù)雜性和規(guī)模不斷增大，確保資源和應(yīng)用程序的訪問安全變得越來越重要。確保訪問安全的最早方法之一是為設(shè)備分配唯一身份，如PMC地址，并根據(jù)這些網(wǎng)絡(luò)身份限制對設(shè)備的訪問。隨著技術(shù)的發(fā)展，工作負(fù)載變得更加重要。而且隨著時(shí)間的推移，工作負(fù)載瞬息萬變，給識別工作負(fù)載帶來了挑戰(zhàn)。機(jī)器身份已擴(kuò)展到包括數(shù)字工作負(fù)載、服務(wù)賬戶、A機(jī)器人、API等。此外，物聯(lián)網(wǎng)和智能設(shè)備在家庭和企業(yè)中的大量使用也給機(jī)器身份增加了其他復(fù)雜因素。隨著聯(lián)網(wǎng)設(shè)備和機(jī)器的爆炸式增長，以及機(jī)器數(shù)量相對于人類的大幅增加，關(guān)注機(jī)器身份的安全和管理勢在必行。/角色（S）是解決這些情況的一種方法。在內(nèi)部環(huán)境中，解決這個(gè)問題可以使用特權(quán)訪問管理工具（如Tti、berAr），這些工具可以發(fā)現(xiàn)機(jī)器身份及其依賴關(guān)系。執(zhí)行惡意活動的行為者。一個(gè)常見的例子是，在ActiveDirectory環(huán)境中服務(wù)賬戶啟用了API。個(gè)RPA機(jī)器人可能歸負(fù)責(zé)其開發(fā)和運(yùn)營的個(gè)人或組織所有，但它也可能被多個(gè)組織或團(tuán)隊(duì)(JIT)訪問原則，以類似于人類身份的方式對待機(jī)器身在云環(huán)境中使用托管身份Az)/角色)，以降低身份泄露的可能性。這是因?yàn)閼{證由云提供商管理。要不同于上線（應(yīng)用）們，為開發(fā)人員、基礎(chǔ)設(shè)施、DevOps和安全團(tuán)隊(duì)提供量身定制的指導(dǎo)。將數(shù)字證書、SSH密鑰和密文集中并存儲在安全位置，最好是在硬件安全模塊(HSM)或密鑰保管庫中。此外，對這些設(shè)備的訪問應(yīng)僅限于具有強(qiáng)口令的特權(quán)RBAC訪問控制機(jī)制。通過跟蹤與已知TTP（策略、技術(shù)和應(yīng)用）相關(guān)的任務(wù)或與權(quán)限更改、橫向移并定制管理和治理的最佳實(shí)踐，對于信息和