Secret Management

La gestión inadecuada de secretos deja a las organizaciones de TI vulnerables a los ataques. Un repositorio de secretos puede ayudar, pero requiere compromiso, junto con la voluntad de cambiar los flujos de trabajo y procesos existentes.

por Stephen J. Bigelow

Uno de los mayores desafíos de seguridad para las organizaciones de TI es el almacenamiento y el acceso a secretos , incluidas contraseñas, certificados y claves API. Estos secretos protegen las aplicaciones, los sistemas y los datos empresariales.

Secret Management
Secret Management

En TI, las máquinas dependen cada vez más de secretos para integrar diversos sistemas o admitir la interoperabilidad entre aplicaciones. Esta tendencia había llevado a una “expansión de secretos”, donde las empresas almacenan secretos en diversas ubicaciones, como archivos de texto sin formato, sistemas de administración de configuración y bases de datos, y acceden a ellos de manera inconsistente. Esto dificulta que los equipos de TI rastreen y administren secretos que, con el tiempo, pueden representar serias amenazas a la seguridad.

Un nuevo grupo de herramientas, como HashiCorp Vault, GitHub Actions y AWS Secrets Manager , centralizan y organizan secretos para reforzar la postura de seguridad de una organización.

El objetivo de la gestión de secretos

Si los administradores no conocen la ubicación exacta de los secretos o cómo están protegidos, es difícil confiar en el monitoreo y el registro para identificar amenazas potenciales.

A la luz de estos desafíos, las organizaciones reexaminan cómo organizan, usan y protegen los secretos. Las herramientas de administración de secretos almacenan y controlan el acceso a una variedad de secretos, incluidas contraseñas, certificados , tokens y claves de cifrado; esto permite a los equipos de TI controlar los secretos de forma centralizada a través de políticas comerciales. Los administradores pueden implementar repositorios secretos localmente como un servicio para respaldar el centro de datos y la infraestructura de nube pública.

usos comunes de las herramientas de gestión de secretos

Existen varios usos comunes para las herramientas de administración de secretos. En su forma más simple, estas herramientas almacenan secretos comerciales en una ubicación designada para evitar la expansión de secretos y proporcionar un control centralizado. También pueden almacenar las credenciales de los empleados o usuarios para aplicaciones y servicios, y registrar el uso de secretos, lo que hace posible que los administradores revisen o auditen el acceso a secretos específicos.

Los repositorios de secretos apoyan cada vez más el uso de secretos dinámicos o temporales: una clave de API para scripts, por ejemplo, que se crea durante la duración de un script y luego se elimina o se revoca. Esto minimiza el riesgo de robo , ya que el secreto se genera sobre la marcha y se elimina después de su uso.

Los repositorios secretos también admiten el cifrado. Por ejemplo, HashiCorp Vault incluye capacidades de cifrado que permiten a las aplicaciones cifrar los datos ubicados en el disco. Este cifrado nativo a menudo simplifica la seguridad de los datos, ya que admite una plataforma común para el cifrado en toda la organización.

Mejores prácticas de gestión de secretos: más allá de la herramienta

Si bien los repositorios secretos facilitan prácticas de seguridad más sólidas y consistentes, esos resultados no son automáticos. Las herramientas de administración de secretos no ayudarán, por ejemplo, si los desarrolladores o administradores continúan usando scripts o código fuente con credenciales de texto sin formato. La adopción exitosa de estas herramientas exige compromiso, así como cambios en las prácticas y los flujos de trabajo en toda la organización. Para comenzar, implemente estas mejores prácticas de administración de secretos.

Acepta el cambio. Uno de los mayores desafíos de un repositorio de secretos es hacer cumplir su uso. Una vez que el repositorio está disponible, los administradores deben proteger los secretos a través de la plataforma para controlar y rastrear el acceso a los secretos. La organización debe hacer un esfuerzo concertado para comprender y deshacer cualquier expansión de secretos existentes. Esto exige una amplia intervención humana y puede interrumpir procesos y flujos de trabajo de larga data entre administradores, desarrolladores y otros.La adopción exitosa de un repositorio de secretos exige compromiso.

Aproveche las integraciones. Una vez que los secretos están en un repositorio, las aplicaciones y los servicios deben usarlos, lo que requiere la integración con otras herramientas y plataformas, algunas de las cuales pueden ejecutarse en nubes públicas. Un repositorio de secretos puede integrarse con un servicio de identidad local, como Active Directory; un servicio en la nube en AWS, Azure o Google Cloud Platform ; o una plataforma de orquestación de contenedores como Kubernetes. Por ejemplo, un repositorio de secretos puede proporcionar secretos a pods de VM que se ejecutan en Kubernetes. Los desarrolladores pueden utilizar la integración para reducir la cantidad de cambios o actualizaciones de aplicaciones necesarias para un uso eficaz del repositorio de secretos.

Usa secretos dinámicos. Incluso cuando existen políticas que requieren cambios periódicos, un secreto típico, como una contraseña, sigue siendo estático y puede verse comprometido con suficiente tiempo y esfuerzo. Mejore la seguridad con secretos dinámicos que, como se mencionó anteriormente, intercambian secretos únicos con cada solicitud.

Implica el cifrado. El cifrado es un servicio esencial para proteger los datos de las aplicaciones tanto en reposo como en vuelo. Pero las empresas omiten con frecuencia el cifrado debido a los desafíos que implica la gestión de certificados de cifrado y la rotación de claves. Un repositorio de secretos sirve como una interfaz centralizada para la administración de claves, que puede simplificar y estandarizar el cifrado tanto localmente como dentro de la nube pública.

Considere los métodos de autenticación. Un método de autenticación es un medio para realizar la autenticación y asignar una identidad. Hay varios métodos de autenticación disponibles en la actualidad, y un repositorio de secretos puede admitir potencialmente la autenticación específica para muchos servicios importantes, como AliCloud, Okta, AWS, Azure, Cloud Foundry, Google Cloud, Kubernetes, GitHub, LDAP, RADIUS y certificados TLS. Por ejemplo, los desarrolladores de software pueden usar algunos sistemas que usan el método de autenticación de GitHub , mientras que los contenedores en la nube pueden usar el método de autenticación de Kubernetes . Seleccione el método de autenticación (o métodos) que sean más apropiados o eficientes para el caso de uso del repositorio y desactive los métodos de autenticación adicionales que no se utilicen para minimizar las posibles superficies de ataque.

Utilice complementos. Las herramientas de administración de secretos brindan extensibilidad y plataformas preparadas para el futuro mediante la compatibilidad con complementos. Por ejemplo, un complemento puede habilitar nuevos motores de secretos (para almacenar, generar o cifrar secretos) y métodos de autenticación. Para obtener complementos, verifique lo que ofrece el proveedor del repositorio de secretos o busque crearlos internamente para satisfacer las necesidades específicas de la empresa.

Utilice registros y auditorías. Un repositorio de secretos produce registros detallados de todas las solicitudes y respuestas, incluidos los errores. Los registros son herramientas indispensables para las auditorías de seguridad, ya que permiten a los administradores localizar rápidamente intentos de acceso no autorizados y garantizar la posición de seguridad de la organización para el cumplimiento normativo. Los registros pueden estar compuestos por objetos JSON para su posterior análisis y análisis. La información confidencial, como los tokens y los detalles del arrendamiento, generalmente se codifican para proteger contra el acceso no autorizado al registro. Habilite y dirija las funciones de registro a una ubicación de almacenamiento segura en la empresa.

Fuente: https://searchitoperations.techtarget.com/tip/Use-secrets-management-tools-for-centralized-security-control

Deja una respuesta