Sicurezza informatica 
Proteggere gli account con privilegi con le chiavi di sicurezza FIDO2 è il modo migliore per proteggerti dalle minacce interne ed esterne visto che offrono una
La gestione dei segreti è parte integrante della sicurezza dei container. Il codice delle applicazioni di frequente dipende dai segreti dell’infrastruttura, come le chiavi API, le password e i token di accesso, e spesso, gli sviluppatori e il personale DevOps inseriscono questi segreti nelle immagini dei container o come variabili di ambiente. Tuttavia, entrambi i metodi rendono i segreti vulnerabili a possibili violazioni. Inoltre, la pratica di codificare i segreti in questo modo associa la gestione dei segreti con il processo di sviluppo, in altre parole, per modificare o ruotare un segreto, è necessario effettuare il refactoring e la ridistribuzione del codice.
Sebbene il CLI Docker includa comandi di gestione dei segreti, questi funzionano solo con i cluster swarm, non con i container autonomi. Per aggirare questa restrizione, gli utenti possono definire i segreti in un file Compose Docker tramite il campo dei segreti di primo livello. Tuttavia, ciò richiede che gli amministratori archivino i segreti nei file di configurazione (ad esempio, un file di testo standard), che vengono bind-mounted nei rispettivi container e letti dalle applicazioni. Se questi file vengono assegnati al controllo della fonte, chiunque abbia accesso al repository potrà accedervi.
Oltre a non essere sicura, l’archiviazione dei segreti Docker nei file di testo contribuisce al cosiddetto “sprawl”, uno scenario in cui i segreti dell’infrastruttura vengono archiviati in vari punti della rete, senza un ordine particolare. Potrebbe non sembrare un grosso problema quando un’organizzazione ha un numero relativamente basso di segreti, tuttavia, i segreti dell’infrastruttura si moltiplicano in modo esponenziale di pari passo con la crescita dell’azienda. Ad esempio, non è raro che vi siano migliaia di chiavi SSH.
Metti al sicuro i segreti Docker senza swarm o sprawl
Keeper Secrets Manager (KSM) è la prima e unica soluzione zero-trust e zero-knowledge basata sul cloud per la protezione dei segreti dell’infrastruttura che consente agli sviluppatori e al personale DevOps di proteggere facilmente i segreti Docker, insieme a tutti gli altri segreti dell’infrastruttura, migliorando la sicurezza dei container grazie all’eliminazione dello sprawl dei segreti sull’intero ambiente dati.
La soluzione KSM offre agli sviluppatori e ai team DevOps tre metodi principali per proteggere i segreti Docker.
1. Creare un’immagine con i segreti utilizzando BuildKit
Utilizzando Docker BuildKit, i segreti della Keeper Vault possono essere integrati in un container Docker. A partire da Docker 18.09, la creazione di immagini supporta la possibilità di inserire i segreti tramite un file system installato. Puoi immaginare questo processo come cuocere una torta il cui ripieno è costituito dai segreti. Consulta la nostra documentazione per ulteriori informazioni ed esempi e per vedere nel dettaglio come creare un account utente nell’immagine di destinazione con un nome utente e una password da Keeper Secrets Manager.
2. Creare un’immagine con i segreti utilizzando argomenti build
Tornando all’analogia della torta del metodo 1, questo metodo può essere paragonato a una sorta di “cottura dinamica” dove è possibile comunicare con la cassaforte ed estrarre in modo sicuro i segreti necessari in fase di esecuzione.
In questo metodo, i segreti vengono forniti tramite il comando –build-arg. Basta impostare le variabili di ambiente con la notazione Keeper per i segreti necessari e utilizzare il comando ksm exec per creare la build Docker con i segreti richiesti. Consulta la nostra documentazione per ulteriori dettagli e un altro utile esempio.
3. Utilizzare l’immagine KSM Docker Writer
L’immagine Docker generica KSM Docker Writer semplifica la sicurezza dei segreti Docker scaricando automaticamente i file segreti e generando un file che li contiene. L’immagine KSM Docker Writer può essere estratta semplicemente eseguendo il seguente comando CLI:
$ docker pull keeper/keeper-secrets-manager-writer
Al momento dell’esecuzione, i suoi parametri vengono inseriti tramite variabili ambientali.
$ docker run \
-v $PWD:/wd –workdir /wd \
-e “KSM_CONIFG=BASE64 CONFIG” \
-e “SECRETS=JfXpSQ2nZG6lkdl1rxB0dg/file/example.crt >
file:example.crt”
keeper/keeper-secrets-manager-writer
Utilizzando l’opzione KSM Docker Writer, tutto il codice sorgente all’interno delle immagini Docker estrae i segreti da un endpoint API sicuro e non da un file di testo! Ogni segreto viene crittografato con una chiave AES a 256 bit, a sua volta crittografata da un’altra chiave dell’applicazione AES-256. Il dispositivo client recupera il testo cifrato dal cloud Keeper e i segreti vengono decrittografati e utilizzati in locale sul dispositivo, non sui server Keeper. Inoltre, tutte le richieste dei server vengono ulteriormente crittografate con una chiave di trasmissione AES-256, in aggiunta al metodo TLS, in modo da prevenire gli attacchi MITM o di replay. Questa crittografia a più livelli viene gestita in modo trasparente attraverso gli SDK lato client di Keeper, facili da integrare in qualsiasi ambiente.
Un buon esempio di utilizzo per KSM Docker Writer Image è l’integrazione in strumenti di orchestrazione come Kubernetes e Docker Compose. L’immagine KSM può recuperare i segreti necessari durante l’inizializzazione e quindi condividerli con gli altri container che dipendono da loro. L’esempio fornito utilizzando Docker Compose nella nostra documentazione utilizza un volume condiviso per archiviare i segreti.
Utilizza Keeper Secrets Manager per proteggere tutti i segreti della tua infrastruttura
Il grande valore di Keeper Secrets Manager non si ferma ai Docker o ai container, la nostra soluzione, infatti, è in grado di proteggere i segreti utilizzati dal codice sorgente nell’intero ecosistema IT di un’organizzazione, nonché i server, le pipeline CI/CD e gli ambienti degli sviluppatori. Inoltre, poiché Keeper Secrets Manager è una naturale estensione del password manager (EPM) aziendale leader del settore di Keeper, è completamente integrato nella cassaforte web, nell’app desktop e nella console di amministrazione di Keeper. Keeper Secrets Manager si integra inoltre perfettamente nel modulo di reporting e avvisi avanzati (ARAM) di Keeper, nei moduli BreachWatch, nei webhook, nell’integrazione SIEM e negli strumenti di conformità.
Utilizzando Keeper Secrets Manager in luogo della codifica fissa, delle variabili d’ambiente o dei file di configurazione, è possibile eliminare lo sprawl, ridurre drasticamente i rischi di compromissione involontaria e archiviare i segreti dell’infrastruttura all’interno del EPM zero-knowledge di Keeper. In questo modo, gli amministratori e il personale DevOps hanno gli stessi vantaggi e il controllo dei segreti dell’infrastruttura forniti da Keeper sulle password. Tra i diversi aspetti vantaggiosi vi sono anche la rotazione dei segreti più semplice, il controllo degli accessi basato sui ruoli (RBAC) e l’integrazione con componenti aggiuntivi come BreachWatch, che analizza il dark web alla ricerca di credenziali compromesse e avvisa gli amministratori IT se ne vengono rilevate.
Keeper Secrets Manager è completamente gestito e utilizza una nuova architettura di sicurezza in attesa di brevetto. A differenza delle soluzioni di gestione dei segreti della concorrenza, Keeper Secrets Manager si integra con praticamente qualsiasi ambiente di dati, senza richiedere hardware aggiuntivo o infrastrutture ospitate nel cloud, e offre integrazioni pronte all’uso con un’ampia varietà di strumenti DevOps, tra cui Github Actions, Kubernetes, Ansible e altri ancora.
Non sei ancora un cliente Keeper? Iscriviti subito per una prova gratuita di 14 giorni! Vuoi scoprire di più su come Keeper può aiutare la tua organizzazione a prevenire le violazioni della sicurezza? Contatta il nostro team oggi stesso.
