SSH – Sleutelbeheer en best practices

Secure Socket Shell (SSH), ook wel Secure Shell genoemd, is een populair protocol dat werkt volgens het principe van publieke sleutelcryptografieZe worden voornamelijk gebruikt om privétransacties te beveiligen en worden gebruikt om authenticatie in te stellen aan zowel de server- als de clientzijde. Het is belangrijk om te weten dat de Secure Shell wordt gebruikt om gegevens die van en naar een extern systeem stromen te versleutelen. Enkele typische use cases van dit soort geheimschrift omvatten bestandsoverdrachten van systeem naar systeem, externe aanmeldingen bij computersystemen en geautomatiseerde servertoegang zonder dat u handmatig hoeft in te loggen.

Een van de grootste voordelen van SSH-sleutels is hun weerbaarheid tegen cyberaanvallen, zoals brute-force-aanvallen, aangezien wachtwoorden niet via het web hoeven te worden vrijgegeven tijdens de transactie. Het beschikt ook over de meeste belangrijke functies van PKI en werkt fundamenteel op het principe van openbare-private sleutelparen.

Voor degenen die het niet weten, lijken SSH-sleutels en X.509-certificaatgebaseerde authenticatie (waarbij ook publieke en privésleutels worden gebruikt) misschien op elkaar, maar in werkelijkheid verschillen ze enorm.

SSH-sleutels versus X.509-certificaten: belangrijkste verschillen

Terwijl X.509-certificaten vertrouwen op digitale certificaten en uitgevende instanties (Certificaatautoriteiten) om privésleutels te ondertekenen, worden SSH-sleutels niet beheerd door een instelling. Ze worden aangemaakt, verspreid en gebruikt binnen transactiepartners en organisaties, en kunnen zonder enige externe inmenging worden beheerd.

Daarnaast beschikken ze ook over functionaliteit die hun tegenhangers niet hebben: de mogelijkheid om op afstand toegang tot systemen mogelijk te maken. Aan de andere kant, TLS Certificaten kunnen deze functionaliteit niet op zichzelf bieden, tenzij ze samen met andere protocollen zoals FTP worden geïmplementeerd.

Risico's verbonden aan SSH-sleutels

Het ontbreken van een bestuursorgaan vormt een ware uitdaging bij het beheer van SSH-sleutels – een gebrek aan organisatie. SSH-sleutels worden gegenereerd op basis van behoefte, en wanneer ad-hocprocessen de uitgifte ervan regelen, is er een risico op sleutelspreiding. Dit betekent dat sleutels worden weggegooid zodra ze onbruikbaar of kwetsbaar worden verklaard, en een gebrek aan inventaris maakt het moeilijk om ze in de gaten te houden, aangezien grote organisaties honderdduizenden SSH-sleutels in hun bestand kunnen hebben. Hun aanwezigheid op de server maakt ze echter mogelijke achterpoortjes voor potentiële hackers, die vervolgens kunnen worden misbruikt voor dataspionage, diefstal of datalekken.

Sleutelrotatie, een andere belangrijke functie, wordt vaak genegeerd door beheerders. Een verouderde sleutel vormt een zwakke schakel voor kwaadwillenden, die op hun beurt misbruikt kunnen worden om netwerkbronnen te exploiteren.

Aanbevolen procedures voor SSH-sleutelbeheer

Als u geen organisatorische richtlijnen heeft voor het beheer van SSH-sleutels, is het in uw belang om er nu een in te voeren. Het handhaven van een strikt beleid, het uitvoeren van audittracking en het hebben van volledige controle en inzicht in de SSH-sleutelinfrastructuur kunnen de cyberveiligheid van de organisatie aanzienlijk verbeteren. Automatisering van beheer is ook een uitstekende manier om dit te doen – er zijn tools beschikbaar die de volledige levenscyclus van SSH-sleutels actief kunnen beheren en automatiseren. Hieronder vindt u enkele best practices die u direct kunt volgen om uw cybersecurity naar een hoger niveau te tillen.

Krijg volledige zichtbaarheid

Alleen door de sleutels op uw systeem te vinden en te lokaliseren, kunt u ze adequaat beschermen. Voer periodieke detectiescans uit in uw netwerk met een geschikte tool om alle SSH-sleutels te lokaliseren en te inventariseren. Koppel ze vervolgens aan de eindpunten waaraan ze gekoppeld zijn en tag ze met alle informatie die een beheerder nodig heeft om ermee te werken, zoals toegangscodes.

Draai de toetsen regelmatig

Verouderde SSH-sleutels bieden hackers een gouden kans om hun toegangscodes te kraken en de server te infiltreren. Stel een beleid in dat het regelmatig genereren, opnieuw invoeren en rouleren van SSH-sleutels afdwingt en zorg ervoor dat alle belanghebbenden hiervan op de hoogte worden gesteld wanneer dit gebeurt. Zorg ervoor dat toegangscodes NIET opnieuw worden gebruikt en dat er telkens nieuwe inloggegevens worden gebruikt. Het automatiseren van dit proces in grote organisaties kan veel manuren en aanzienlijke operationele kosten besparen.

Controle en beleid afdwingen

Stel organisatiebreed beleid op en zorg ervoor dat operationeel/IT-personeel zich hieraan houdt – bijvoorbeeld beleid voor regelmatige sleutelrotatie. Maak daarnaast ruimschoots gebruik van audit trails met behulp van gespecialiseerde software, in overeenstemming met de branchevoorschriften, om het gebruik, hergebruik en de toepassing van al uw SSH-sleutels in de gaten te houden.

Maak op rollen gebaseerde machtigingen

Verbied toegang tot en wijziging van SSH-sleutels of de bijbehorende inloggegevens door alle medewerkers in uw team(s). Gebruik directoryservices om verschillende niveaus van privileges te bieden voor elke gebruikerscategorie, om willekeurige controle te voorkomen en een audit trail te bevorderen.

Vermijd het gebruik van hardgecodeerde sleutels

Wanneer SSH-sleutels in softwareapplicaties zijn ingebouwd of meegeleverd, vormen ze een gevaarlijk beveiligingslek. Waarom? Omdat ze worden beheerd door wachtwoordzinnen, kan een onzorgvuldig uitgegeven SSH-sleutel met een zwakke wachtwoordzin de zwakke schakel in een applicatie zijn die hackers mogelijk kunnen misbruiken en de integriteit van de hele applicatie in gevaar kunnen brengen. Zorg ervoor dat SSH-sleutels centraal worden beheerd door een speciaal beheersysteem.

Als u professionele hulp nodig heeft bij het opzetten van een schaalbare SSH-omgeving sleutelbeheer systeem, neem dan gerust contact met ons op via www.encryptionconsulting.comen om de mogelijkheden van een SSH-sleutellevenscyclusbeheer- en automatiseringstool te ontdekken en hoe deze in uw IT-processen past, bezoek https://www.appviewx.com/products/cert/