Introducción a AWS Secrets Manager

Hoy en día, proteger sus datos es la tarea más importante para cualquier experto en seguridad. Una vez protegidos los datos con herramientas de protección de datos y contraseñas, el siguiente desafío es cómo proteger las contraseñas o los secretos. Es entonces cuando necesita una herramienta de software o hardware que le ayude a gestionar los secretos de forma eficaz y eficiente. AWS Secrets Manager es una de estas herramientas, capaz de gestionar, recuperar y rotar contraseñas, credenciales de bases de datos, claves API y otros secretos a lo largo de su ciclo de vida. Proporciona la máxima seguridad para la gestión centralizada de credenciales, evitando la codificación rígida de credenciales.

Hoy analizaremos AWS Secrets Manager y su función en la gestión de credenciales, facilitando algunos de los casos de uso de seguridad críticos.

Características de AWS Secrets Manager

AWS Secrets Manager ofrece varias características con respecto a la gestión de credenciales, como:

1. Integración con AWS KMS: AWS Secrets Manager está completamente integrado con el servicio AWS KMS y cifra los secretos como datos en reposo. cifrado con las claves KMS administradas por el cliente. Al recuperar los secretos, descifra los secretos utilizan las mismas claves CMK KMS utilizadas anteriormente para el cifrado y transmite los secretos a su entorno local de forma segura.
2. Rotación secreta: AWS Secrets Manager le permite cumplir con los requisitos de seguridad y cumplimiento normativo según los objetivos de su organización. Le proporciona la funcionalidad de rotación de secretos bajo demanda o de forma programada a través de la consola de administración de AWS, el SDK de AWS o la CLI de AWS.
3. Integración con los servicios de base de datos de AWS: AWS Secrets Manager es compatible con servicios de bases de datos nativos de AWS, como Amazon RDS, Amazon DocumentDB y Amazon Redshift. También permite rotar otros tipos de secretos, como claves API, tokens OAuth y otras credenciales, mediante funciones lambda personalizadas.
4. Contiene múltiples versiones de secretos: AWS Secrets Manager puede contener varias versiones de secretos mediante etiquetas de almacenamiento temporal adjuntas a la versión durante la rotación de los secretos. Cada versión de secreto contiene una copia del valor cifrado del secreto.
5. Gestione el acceso con políticas detalladas:  AWS Secrets Manager le ofrece una gestión de acceso flexible mediante políticas de IAM y políticas basadas en recursos. Por ejemplo, puede recuperar secretos de su aplicación personalizada que se ejecuta en EC2 para conectarse a una instancia de base de datos específica (local o en la nube).
6. Proteger y auditar secretos de forma centralizada: AWS Secrets Manager está completamente integrado con el servicio AWS CloudTrail para fines de registro y auditoría. Por ejemplo, AWS CloudTrail mostrará las llamadas a la API relacionadas con la creación, recuperación y eliminación de secretos, etc.

Hemos analizado algunas de las características de Secrets Manager. A continuación, se presentan los puntos clave a tener en cuenta al trabajar con Secrets Manager:

1. Puede administrar secretos para bases de datos, recursos en la nube local y de AWS, aplicaciones SaaS, claves API de terceros y claves SSH, etc.
2. AWS Secrets Manager garantiza el cumplimiento de todos los principales estándares de la industria, como HIPAA, PCI-DSS, ISO, FedRAMP, SOC, etc.
3. Secrets Manager no almacena los secretos en texto sin formato en el almacenamiento persistente.
4. Dado que el Administrador de secretos proporciona los secretos a través del canal seguro, no permite ninguna solicitud de ningún host de manera insegura.
5. Secrets Manager admite la función de etiquetas de AWS, por lo que puede implementar un control de acceso basado en etiquetas en los secretos administrados por el administrador de secretos.
6. Para mantener el tráfico seguro y sin pasar por Internet abierto, puede configurar un punto final privado dentro de su VPC para permitir la comunicación entre su VPC y Secrets Manager.
7. Secrets Manager no elimina los secretos inmediatamente, sino que programa la eliminación por un período mínimo de 7 días. Durante ese período, puede recuperar los secretos según sus necesidades y publicar el período programado; los secretos se eliminan permanentemente. Sin embargo, a través de AWS CLI, puede eliminar cualquier secreto inmediatamente.
8. AWS Secrets Manager ofrece un modelo de precios rentable en el que cobra $0.40 por secreto por mes o $0.05 por cada 10 000 llamadas API.

Casos de uso de AWS Secrets Manager

1.  Secrets Manager evita la necesidad de codificar las credenciales o la información confidencial en el código de la aplicación. Sirve para que una llamada API al administrador de secretos recupere el secreto mediante programación. Este mecanismo impide que cualquier persona comprometa la información confidencial o las credenciales, ya que la información secreta no existe en el texto plano del código.
2. Secrets Manager proporciona una gestión centralizada de credenciales, lo que reduce la carga operativa y da como resultado la rotación activa de credenciales a intervalos regulares para mejorar la postura de seguridad de la organización.

Recursos: https://aws.amazon.com/secrets-manager/pricing/

Conclusión

La gestión de secretos desempeña un papel fundamental en la protección de datos de cualquier organización en cualquier entorno (local o en la nube). AWS Secrets Manager ofrece un completo conjunto de funciones para soluciones de gestión de secretos. Admite una amplia variedad de secretos, como credenciales de bases de datos, credenciales para recursos locales, credenciales de aplicaciones SaaS, claves API y claves SSH, entre otros. En el mundo actual de la seguridad, existen diversas soluciones de gestión de secretos; sin embargo, dado que AWS Secrets Manager funciona a la perfección en el entorno de AWS, también ofrece una excelente compatibilidad con otros entornos (locales).