Contraseña 
Puede compartir la contraseña de su red Wi-Fi de forma segura utilizando una contraseña segura, creando una red de invitados, habilitando el cifrado de su enrutador
Algunos clientes han preguntado sobre las ventajas y desventajas de una solución de gestión de contraseñas autoalojada, como Bitwarden. Como tengo amplia experiencia en este tema, pensé en compartir algunas de las razones clave para utilizar un gestor de contraseñas cloud-based como Keeper, en lugar de un cofre de contraseñas autoalojado.
Ventajas de una solución autoalojada
La única ventaja de una plataforma de gestión de contraseñas autoalojada en la que puedo pensar es cuando hay un entorno en el que los usuarios solo utilizan un ordenador de escritorio, en un entorno de red con mucha diferencia. Esta situación no se aplica a la gran mayoría de las personas o empresas.
Desventajas de una solución autoalojada
Gestión de la infraestructura
En una solución autoalojada, el cliente es responsable de la implementación del contenedor, el alojamiento en un servidor, el equilibrio de carga, los certificados SSL, el enrutamiento y el cortafuegos. El cliente hará la transición de las tareas de gestión de los usuarios finales a las tareas de gestión de una plataforma de software completa. Cuando las cosas van mal, y lo harán, el administrador tiene la responsabilidad única y total.
Se necesitarán conocimientos especializados en lo siguiente:
- Contenedores de Docker
- Docker Swarm para alta disponibilidad
- Alojamiento, mantenimiento, actualizaciones y copias de seguridad de servidores de bases de datos
- Equilibrio de carga
- Cortafuegos/cortafuegos de aplicaciones web (WAF, por sus siglas en inglés)
- Administración de servicios de Windows o Linux
- Parches de instancias, copias de seguridad y recuperación
- Administración de hardware: instalación y mantenimiento continuo de servidores, infraestructura de red (enrutadores, conmutadores), dispositivos de cortafuegos/seguridad, matrices de almacenamiento y electricidad.
- Mantenimiento de las instalaciones: suministro de electricidad de emergencia (generadores, baterías), seguridad medioambiental, física y control de acceso.
Keeper se implementa en una gran infraestructura de nube en varios centros de datos geográficos, con un equipo comprometido a tiempo completo de personal de DevOps en los Estados Unidos que gestiona, protege y supervisa el entorno.
Implementar configuraciones personalizadas
En una solución autoalojada, el administrador y cada usuario final deben modificar todas las aplicaciones implementadas para incluir configuraciones de extremos de URL personalizadas. Los usuarios tendrán el desafío de hacerlo y deben tener conectividad de red con el extremo alojado. También puede implementar estas configuraciones a través de políticas de grupo y gestión de dispositivos móviles (MDM), pero esto significa que tiene control total y absoluto sobre todos los dispositivos de extremo. Cualquier dispositivo que esté fuera de su control lo debe configurar manualmente el administrador o el usuario.
Las aplicaciones de usuario final de Keeper no requieren configuración: funcionan desde el principio.
Falta de casos de uso críticos
Existen varios casos de uso que pueden no estar disponibles en una instalación local de un servicio de cofre de contraseñas. Por ejemplo:
- La sincronización y los impulsos en tiempo real requieren conectividad de la infraestructura en la nube. Un proveedor puede ofrecer un relé en la nube para resolver este problema, pero entonces frustra el sentido del auto alojamiento.
- La integración del inicio de sesión único (SSO) con servicios de gestión de claves locales es muy compleja
- La integración con las API requerirá el enrutamiento de red desde los servidores de desarrollo/producción hasta el extremo autoalojado de destino
Keeper ofrece sincronización en tiempo real y no requiere servicios locales para operar o integrarse con SSO. Todas las API se comunican directamente con la nube de Keeper mediante el cifrado zero-knowledge. No se requieren cambios internos de enrutamiento de red de forma interna.
Vulnerabilidades de seguridad
Para permitir a los usuarios finales acceder al cofre en sistemas remotos o dispositivos móviles, la aplicación alojada debe exponer el acceso de red entrante al objetivo. Esto significa que el servicio será accesible al público y permite a los bots y a los malos actores atacarlo. Como resultado, se verá obligado a comprar e implementar una solución de WAF de interfaz de terceros, como Cloudflare, AWS Shield, entre otros.
Keeper es una solución zero-knowledge totalmente gestionada y alojada en Amazon Web Services. Amazon Shield/WAF se implementa para controlar ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés) y otros ataques de bot.
Actualizaciones de software
Con una solución autoalojada, se debe hacer una copia de seguridad, parchear, eliminar y reiniciar todo el software local. Una solución de cofre que cambia rápidamente requiere muchos componentes móviles y actualizaciones constantes de productos en las diversas plataformas: web, de escritorio, móviles, extensiones de navegador, etc. El rápido ritmo de las actualizaciones requerirá parches de software frecuentes para cualquier producto local. Y siempre existe el riesgo de que un mal parche o un parche perdido pueda causar un problema grave.
El software de Keeper en todas las plataformas siempre está actualizado y se ha parcheado con las últimas actualizaciones de seguridad. No se requiere la intervención del cliente.
Copia de seguridad y recuperación
Las bases de datos, los servidores, la configuración y los contenedores deben contar con copias de seguridad. La recuperación debe probarse y verificarse de forma continua. Si se realizan copias de seguridad diarias desde una instancia local de una base de datos, se corre el riesgo de perder contraseñas críticas y confidenciales en un período de 24 horas.
La infraestructura de bases de datos de Keeper es multirregión y multizona. Las copias de seguridad de los datos se pueden restaurar en cualquier momento, hasta el segundo, en un plazo de 30 días. Además, la función de historial de registros de Keeper ofrece cambios históricos completos para cada contraseña o registro almacenado en la plataforma desde el principio de los tiempos.
Informantes maliciosos
En una solución autoalojada, el administrador tiene el control total sobre el software y el almacenamiento. Esto también le da al administrador la capacidad de tomar el control del cofre de un usuario, incluso el cofre de los gestores y ejecutivos de nivel C del administrador.
Un paso más allá; si el administrador creó el servicio a partir de código fuente, también tiene la capacidad de introducir errores, vulnerabilidades y escaladas de privilegios. En la mayoría de los entornos, los equipos de gestión y los ejecutivos no deben permitir que un administrador eleve sus privilegios y acceda al contenido de los cofres de usuarios.
Keeper se ha creado utilizando una arquitectura de seguridad Zero-Knowledge y Zero-Trust. Keeper se puede configurar fácilmente para crear roles de administrador delegados con permisos limitados. Los administradores de Keeper nunca tienen la capacidad de descifrar los cofres de usuarios que no gestionan.
Riesgos de código abierto
Ofrecer una comunidad de código abierto con el repositorio completo de código fuente de front-end y back-end es digno de mención y tiene ventajas en cuanto a transparencia. Sin embargo, la ventaja de la seguridad es limitada para la mayoría de las empresas. Si una solicitud de extracción de un actor malicioso se acepta en un proyecto de código abierto sin una revisión de pares adecuada, se pueden introducir vulnerabilidades. El hecho de que el código fuente sea público no significa que los investigadores de seguridad analicen y prueben el código para detectar vulnerabilidades de seguridad. Desde hace años, se sabe que las vulnerabilidades se encuentran en muchos proyectos de código fuente público.
Keeper tiene un contrato con investigadores de seguridad cibernética líderes del sector para realizar pruebas de penetración trimestrales contra objetivos de software de Keeper, tanto internos como externos, con total acceso al código fuente. Keeper también se ha asociado con Bugcrowd para gestionar su programa de divulgación de vulnerabilidades (VDP, por sus siglas en inglés). Lea más en https://bugcrowd.com/keepersecurity.
Las API y los kits de desarrollo de software (SDK) de Keeper, como Commander y Secrets Manager, son de origen público y están disponibles en nuestro repositorio de Github.
Lagunas de auditoría del volumen de negocios de los empleados
Inevitablemente, un administrador con control sobre este entorno puede terminar abandonando la organización. Esto tiene el potencial de dejar atrás un sistema no gestionado, no mantenido o inseguro. Además, si se despide al administrador o se va en malas condiciones, no habría ningún rastro de auditoría de ningún comportamiento malicioso (como realización de copias de cofres de usuarios, introducción de vulnerabilidades o destrucción de datos).
Keeper tiene un módulo de informes y alertas avanzados (ARAM, por sus siglas en inglés) que contiene un registro de auditoría de toda la actividad de los usuarios. Los administradores de Keeper nunca tienen acceso directo a los datos del cofre de los usuarios finales.
Si tiene alguna pregunta, no dude en enviarnos un correo electrónico a: security@keepersecurity.com.
