La gestión de secretos se refiere a las herramientas o métodos que se utilizan para gestionar las credenciales de autenticación (o secretos). Estos pueden incluir contraseñas, claves de acceso, API claves y tokens que se pueden utilizar en aplicaciones, servicios, cuentas privilegiadas u otras áreas sensibles del ecosistema de TI.
-
Ventaja: Con este enfoque, las cuentas de servicio (cuentas administrativas genéricas que pueden ser asumidas por uno o más usuarios) pueden acceder a estos secretos, pero nadie más.
-
Desventaja: No cumple con los requisitos reglamentarios que especifican hardware con certificación FIPS
¿Por qué es importante la gestión de secretos?
Las contraseñas y claves de acceso son algunas de las herramientas más utilizadas para autenticar usuarios o aplicaciones automatizadas en la red, o para dar acceso a servicios, sistemas o información específicos que, de otro modo, podrían estar clasificados. Dado que estos secretos deben transferirse de forma segura, la gestión de secretos debe considerar y mitigar el riesgo que representan, tanto en tránsito como en reposo.
Algunos de los secretos incluyen:
- contraseñas
- Claves API u otras claves/credenciales de aplicación
- Las claves SSH
- Contraseñas de bases de datos y otros sistemas
- Certificados para una comunicación segura (TLS / SSL y más).
- Claves de cifrado privadas como PGP
- RSA y otros dispositivos con contraseña de un solo uso
Desafíos en la gestión de secretos
A medida que la infraestructura de TI crece y se desarrolla, aumenta la complejidad y la diversidad de los secretos involucrados que deben protegerse adecuadamente. Estos secretos deben almacenarse, transmitirse y auditarse de forma segura.
Algunos de los riesgos y consideraciones más comunes son:
-
Visibilidad y concienciación incompletas
Todas las cuentas, aplicaciones, herramientas, contenedores o microservicios con privilegios implementados en el entorno, junto con las contraseñas, claves y otros secretos asociados. Tan solo las claves SSH pueden llegar a millones en algunas organizaciones, lo que debería dar una idea de la magnitud del desafío de la gestión de secretos. Esto se convierte en una deficiencia particular de los enfoques descentralizados, donde administradores, desarrolladores y otros miembros del equipo gestionan sus secretos por separado, si es que se gestionan. Sin una supervisión que abarque todas las capas de TI, es seguro que habrá brechas de seguridad, así como desafíos de auditoría.
-
Credenciales codificadas/incrustadas
Se necesitan contraseñas privilegiadas y otros secretos para facilitar la autenticación en las comunicaciones y el acceso entre aplicaciones (A2A) y entre aplicaciones y bases de datos (A2D). A menudo, las aplicaciones y los dispositivos IoT se entregan e implementan con credenciales predeterminadas y codificadas, que son fáciles de descifrar por hackers que utilizan herramientas de escaneo y ataques de adivinación o de diccionario. Las herramientas DevOps suelen tener secretos codificados en scripts o archivos, lo que pone en riesgo la seguridad de todo el proceso de automatización.
-
Credenciales privilegiadas y la nube
Las consolas de administrador de la nube y la virtualización (como en AWS, Office 365, etc.) ofrecen amplios privilegios de superusuario que permiten a los usuarios activar y desactivar rápidamente máquinas virtuales y aplicaciones a gran escala. Cada instancia de máquina virtual cuenta con su propio conjunto de privilegios y secretos que deben administrarse.
-
Herramientas devOps
Si bien los secretos deben gestionarse en todo el ecosistema de TI, los entornos DevOps son donde los desafíos de la gestión de secretos parecen ser especialmente acentuados actualmente. Los equipos DevOps suelen utilizar docenas de herramientas y tecnologías de orquestación, gestión de la configuración y otras (Chef, Puppet, Ansible, Salt, contenedores Docker, etc.) que dependen de la automatización y otros scripts que requieren secretos para funcionar. Nuevamente, estos secretos deben gestionarse de acuerdo con las mejores prácticas de seguridad, incluyendo la rotación de credenciales, el acceso limitado por tiempo y actividad, la auditoría, etc.
-
Cuentas de proveedores externos/soluciones de acceso remoto
¿Cómo se garantiza que la autorización proporcionada mediante acceso remoto o a un tercero se utilice correctamente? ¿Cómo se garantiza que la organización externa gestione adecuadamente los secretos?
-
Procesos manuales de gestión de secretos
Dejar la seguridad de las contraseñas en manos humanas es una receta para la mala gestión. Una gestión deficiente de las contraseñas, como la falta de rotación de contraseñas, las contraseñas predeterminadas, las contraseñas integradas, el uso compartido de contraseñas y el uso de contraseñas fáciles de recordar, impide que las contraseñas se mantengan en secreto, lo que facilita las filtraciones. Por lo general, una mayor gestión manual de las contraseñas implica una mayor probabilidad de brechas de seguridad y malas prácticas.
Conclusión
La gestión de secretos es un aspecto crucial de la ciberseguridad y la protección de datos modernas. Ayuda a proteger la información confidencial, prevenir filtraciones de datos y garantizar el cumplimiento normativo. Al implementar las mejores prácticas y utilizar herramientas de gestión de secretos, las personas y las organizaciones pueden dar un paso importante para fortalecer su seguridad y proteger sus secretos de miradas indiscretas. En un mundo donde las amenazas digitales evolucionan constantemente, una gestión sólida de secretos es fundamental para un futuro digital más seguro.
En Encryption Consulting comprendemos la importancia de una gestión eficaz de secretos. Nuestra Servicios de protección de datos en la nube Puede ayudar a su organización a gestionar sus secretos, garantizando no solo la seguridad sino también la tranquilidad.