Algunas de las estafas más habituales en Facebook Messenger incluyen las solicitudes de códigos de autenticación, las páginas benéficas falsas que piden donaciones, los mensajes que
La gestión de secretos es una parte integral de la seguridad de los contenedores. El código de la aplicación a menudo depende de los secretos de la infraestructura, como las claves de la API, las contraseñas y los tokens de acceso. Con demasiada frecuencia, los desarrolladores y el personal de DevOps codifican estos secretos en imágenes de contenedores o los inyectan como variables de entorno. Ambos métodos hacen que los secretos sean vulnerables al compromiso. Además, la codificación de secretos combina el proceso de gestión de secretos con el proceso de desarrollo, lo que significa que cambiar o rotar un secreto requiere refactorizar y volver a implementar el código.
Si bien la CLI de Docker incluye comandos de gestión de secretos, solo funcionan con los clústeres de Swarm, no con los contenedores independientes. Para evitar esta restricción, los usuarios pueden definir secretos en un archivo de Docker Compose a través del campo de secretos de nivel superior. Sin embargo, esto requiere que los administradores almacenen los secretos en los archivos de configuración (p. ej., de texto normales), que se montan en los enlaces en sus contenedores y son leídos por las aplicaciones. Si estos archivos se suben al código fuente, cualquier persona con acceso al repositorio puede acceder a ellos.
Además de ser inseguro, el almacenamiento de secretos de Docker en archivos de texto contribuye a la dispersión de secretos, un escenario en el que los secretos de la infraestructura se almacenan en toda la red, sin ningún orden en particular. Esto puede no parecer un gran problema cuando una organización tiene un número relativamente bajo de secretos, pero a medida que las empresas crecen, los secretos de la infraestructura se multiplican exponencialmente. Por ejemplo, las claves SSH por sí solas pueden ser fácilmente miles.
Proteja los secretos de Docker sin Swarm ni dispersión
Keeper Secrets Manager (KSM), la primera y única solución basada en la nube, de zero-trust y zero-knowledge para proteger los secretos de la infraestructura, permite a los desarrolladores y al personal de DevOps proteger fácilmente los secretos de Docker, junto con todos los demás secretos de la infraestructura, lo que mejora la seguridad de los contenedores al tiempo que elimina la dispersión de secretos en todo el entorno de datos.
KSM ofrece a los desarrolladores y a los equipos de DevOps tres métodos principales para proteger los secretos de Docker.
1. Construir una imagen con secretos mediante BuildKit
Con Docker BuildKit, los secretos de Keeper Vault se pueden integrar en un contenedor de Docker. A partir de Docker 18.09 y versiones posteriores, la creación de imágenes admite la capacidad de pasar secretos a través de un sistema de archivos montado. Piense en este método como si se tratase de hornear un pastel con sus secretos cocidos de forma segura dentro. Para obtener más detalles y un ejemplo útil, consulte nuestra documentación, donde le mostramos este método con la creación una cuenta de usuario en la imagen de destino con un nombre de usuario y una contraseña de Keeper Secrets Manager.
2. Construir una imagen con secretos mediante Build Arguments
Partiendo de la analogía del pastel del método 1, este es como hornear un pastel dinámico; puede «llamar a la puerta» del cofre y extraer con seguridad los secretos que necesita en tiempo de ejecución.
En este método, los secretos se transmiten a través de –build-arg. Solo tiene que configurar las variables de entorno con notación de Keeper para los secretos que se necesitan y utilizar el comando ksm exec para crear la compilación de Docker con los secretos necesarios. Visite nuestra documentación para obtener más detalles y otro ejemplo útil.
3. Utilizar la imagen de KSM Docker Writer
El KSM Docker Writer, una imagen de Docker de propósito general, simplifica la seguridad de los secretos de Docker al descargar automáticamente archivos secretos y generar un archivo que contiene secretos. La imagen de KSM Docker Writer se puede extraer al ejecutar el siguiente comando CLI:
$ docker pull keeper/keeper-secrets-manager-writer
Cuando se ejecuta, sus parámetros se transmiten a través de variables de entorno.
$ docker run \
-v $PWD:/wd –workdir /wd \
-e «KSM_CONIFG=BASE64 CONFIG» \
-e «SECRETS=JfXpSQ2nZG6lkdl1rxB0dg/file/example.crt >
file:example.crt»
keeper/keeper-secrets-manager-writer
Con KSM Docker Writer, todo el código fuente de las imágenes de Docker extrae secretos desde un terminal API seguro, ¡no de un archivo de texto! Cada secreto se cifra con una clave AES de 256 bits, que luego se vuelve a cifrar con otra clave de aplicación AES-256. El dispositivo cliente recupera texto cifrado de la nube de Keeper y los secretos se descifran y se usan localmente en el dispositivo, no en los servidores de Keeper. Además, todas las solicitudes del servidor se cifran aún más con una clave de transmisión AES-256 sobre la TLS para evitar ataques de intermediario (MITM) o de repetición. Esta criptografía de múltiples capas se gestiona de forma transparente a través de los SDK del lado del cliente de Keeper, que son fáciles de integrar en cualquier entorno.
Un ejemplo sólido de uso de la imagen de KSM Docker Writer es la integración en herramientas de orquestación como Kubernetes y Docker Compose. La imagen de KSM puede recuperar los secretos necesarios durante la inicialización y luego compartirlos con los otros contenedores que dependen de ellos. El ejemplo proporcionado con Docker Compose en nuestra documentación utiliza un volumen compartido para almacenar los secretos.
Utilice KSM para proteger todos los secretos de su infraestructura
El valor de la utilidad de KSM va más allá del Docker y los contenedores. KSM protege los secretos utilizados por el código fuente en todo el ecosistema de TI de una organización, así como en los servidores, los canales de CI/CD y los entornos de desarrollo. Además, dado que KSM es una extensión lógica del Password manager (EPM) empresarial de primera categoría de Keeper, está completamente integrado en el cofre web de Keeper y la aplicación de escritorio y la consola de administración. KSM también se integra a la perfección en el módulo de informes y alertas avanzadas (ARAM) de Keeper, en BreachWatch, en los webhooks, en la integración de SIEM y en las herramientas de cumplimiento.
El uso de KSM en lugar de la codificación permanente, las variables de entorno o los archivos de configuración elimina la dispersión de secretos, reduce drásticamente los riesgos de que se comprometan los secretos de forma involuntaria y almacena los secretos de la infraestructura dentro de la EPM zero-knowledge de Keeper. Esto ofrece a los administradores y al personal de DevOps las mismas ventajas y control de los secretos de la infraestructura que Keeper les ofrece a través de las contraseñas. Esto incluye la rotación de secretos simplificada, el control de acceso basado en roles (RBAC) y la integración con complementos como BreachWatch, que analiza la Dark Web en busca de credenciales comprometidas y alerta a los administradores de TI si se descubren algunas.
Keeper Secrets Manager se gestiona completamente y utiliza una nueva arquitectura de seguridad pendiente de patente. A diferencia de las soluciones de gestión de secretos de la competencia, KSM se integra en prácticamente cualquier entorno de datos, sin necesidad de hardware adicional ni de infraestructura alojada en la nube, y con integraciones listas para usar con una amplia variedad de herramientas de DevOps, como Github Actions, Kubernetes, Ansible y más.
¿Aún no es cliente de Keeper? ¡Regístrese ahora para obtener una prueba gratuita de 14 días! ¿Desea obtener más información sobre cómo puede Keeper ayudar a su organización a evitar violaciones de seguridad? Póngase en contacto con nuestro equipo hoy mismo.