Perché i team DevSecOps hanno bisogno della gestione dei segreti?
Pubblicato
il
Gennaio 26, 2023
Condividi questo blog
Scritto da
Teresa Rothaar
Un’adeguata gestione dei segreti IT è essenziale per proteggere la tua organizzazione dalle minacce informatiche, in particolare negli ambienti DevOps, dove gli strumenti della pipeline CI/CD più usati, come Jenkins, Ansible, Github Actions e Azure DevOps, utilizzano i segreti per accedere a database, server SSH, servizi HTTP e altri sistemi estremamente riservati.
Nonostante l’importanza critica della gestione dei segreti, il report 2022 Cybersecurity Census di Keeper ha rilevato che quasi un terzo delle organizzazioni (32%) non dispone di una soluzione dedicata a protezione dei propri segreti. Inoltre, ben l’84% è preoccupato dei rischi associati alle cosiddette credenziali “hardcoded”, ovvero scritte direttamente nel codice sorgente, mentre il 25% non dispone di un software per rimuoverle.
Che cosa si intende per DevSecOps?
Prima di definire DevSecOps, bisogna capire cos’è DevOps. DevOps è una filosofia di sviluppo software che cerca di abbattere la suddivisione a compartimenti stagni tra sviluppo del software e operazioni IT (da qui il nome “DevOps”), con l’obiettivo di fornire software di qualità in tempi più rapidi. DevOps è complementare allo sviluppo di software agile e si basa molto sull’automazione dei processi durante l’intero ciclo di vita dello sviluppo software (SDLC).
Tuttavia, DevOps non riguarda solo lo sviluppo e le operazioni; la sicurezza deve avere un posto di primo piano. Ecco dunque che è stata introdotta la metodologia DevSecOps, che mira a integrare iniziative di sicurezza a ogni livello del ciclo di vita dello sviluppo, in modo da fornire rapidamente applicazioni sicure, oltre che solide.
Che cos’è la gestione dei segreti?
La gestione dei segreti si riferisce agli strumenti e ai metodi utilizzati per gestire le credenziali di autenticazione per l’accesso a sistemi con privilegi elevati e alle informazioni sensibili.
In fin dei conti, i segreti non sono altro che password. Tuttavia, a differenza delle altre password, i segreti vengono utilizzati dalle applicazioni e dalle macchine, e non dagli esseri umani. Tra i tipi di segreti più comuni ci sono:
Credenziali di login non umane, per esempio per gli account di servizio
Password per database e altre password da sistema a sistema
Oltre a proteggere i segreti IT da chi costituisce una minaccia alla sicurezza informatica, tra i vantaggi delle soluzioni di gestione dei segreti c’è la visibilità sul proprio ambiente dati da parte dei team DevSecOps, il che consente loro di prevenire la diffusione dei segreti e ne semplifica la condivisione in modo sicuro.
Problematiche della gestione dei segreti per DevSecOps
I team di DevSecOps devono affrontare rischi e problemi non da poco nella gestione dei segreti. Esaminiamo le problematiche più comuni.
1. Diffusione dei segreti
La diffusione dei segreti avviene quando un’organizzazione memorizza i segreti in tutta la rete, senza utilizzare una soluzione per organizzarli, gestirli e proteggerli. Il problema è aggravato dalla vasta adozione di app SaaS e modelli di sviluppo nativi per il cloud, che hanno aumentato drasticamente il numero di segreti presso le organizzazioni, decentralizzando allo stesso tempo la loro archiviazione. In questo tipo di ambiente, i team DevOps non dispongono della visibilità e delle politiche di gestione uniformi di cui hanno bisogno per tenere sotto controllo i segreti, con conseguente ampliamento della superficie di attacco dell’organizzazione e aumento del rischio di subire una violazione dei dati.
2. Credenziali hardcoded e integrate
Le credenziali hardcoded/integrate contribuiscono in modo determinante sia alla diffusione dei segreti che alle violazioni dei dati. Molti dispositivi intelligenti, altre piattaforme hardware e persino software escono dalla fabbrica con credenziali hardcoded predefinite. Queste credenziali andrebbero modificate prima della distribuzione del prodotto, ma se i team DevSecOps non hanno visibilità sul loro ambiente dati, capita che questo non avvenga. Quando i dispositivi e le app vengono distribuiti senza modificare le credenziali predefinite, i cybercriminali possono accedervi facilmente utilizzando gli strumenti di scansione insieme al manuale del dispositivo o dell’app. Questi manuali sono facilmente reperibili online e contengono le credenziali predefinite.
Inoltre, gli sviluppatori a volte inseriscono segreti nel codice sorgente. Si tratta di una grave violazione delle migliori prassi di sicurezza delle applicazioni, ma in assenza di visibilità, i team DevSecOps non possono porvi rimedio in modo efficace.
3. Insiemi di più strumenti eterogenei
Tra gli strumenti utilizzati negli ambienti DevSecOps ci sono strumenti di gestione dei segreti integrati, che consentono ai team di rimuovere le credenziali hardcoded/integrate. Tuttavia, si tratta di strumenti proprietari, che funzionano solo in bundle con le soluzioni con cui vengono forniti, il che non risolve alla radice il problema della diffusione dei segreti.
4. Prassi di protezione delle password inefficaci
Come accennato in precedenza in questo blog, i segreti non sono altro che password, anche se di tipo diverso, e in quanto tali sono soggetti agli stessi problemi di sicurezza di tutte le altre password. A volte, i segreti vengono archiviati in formato di testo semplice, e pertanto non sono protetti. Può capitare che i membri del team riutilizzino i segreti in diverse applicazioni o che ne scelgano di poco efficaci, come combinazioni di tasti in sequenza o parole di senso compiuto. Inoltre, capita che non sia possibile modificare o revocare i segreti quando i dipendenti che vi possono accedere lasciano l’azienda. Tutti questi problemi aumentano notevolmente le probabilità di compromissione, e di conseguenza di violazione, dei dati.
Cosa cercare in una soluzione di gestione dei segreti DevSecOps
Il modo migliore per contrastare la diffusione dei segreti e prevenire le violazioni dei dati è utilizzare una soluzione di gestione dei segreti dedicata che includa una cassaforte sicura e centralizzata in cui archiviarli.
Quando devi valutare una soluzione di gestione dei segreti DevSecOps, verifica che offra le seguenti funzionalità:
Un modello d’implementazione flessibile: gli ambienti dati di oggi sono molto complessi e tutti diversi uno dall’altro. Assicurati che la tua soluzione di gestione dei segreti funzioni in tutto il tuo ambiente, sia esso on-premise, nel cloud o in una configurazione multi-cloud o ibrida.
Crittografia AES: per proteggere i segreti in modo efficace, una soluzione di gestione dei segreti deve crittografare i dati sia in transito che a riposo, ma non basta. Assicurati che la soluzione che scegli utilizzi la crittografia AES a 256 bit, lo standard di riferimento utilizzato da banche e agenzie governative.
Integrazione con altre applicazioni e servizi: la soluzione di gestione dei segreti della tua organizzazione deve integrarsi perfettamente con i sistemi CI/CD più diffusi e con tutti gli altri strumenti utilizzati negli ambienti di sviluppo.
In che modo Keeper protegge i segreti della tua azienda
Keeper Secrets Manager è una soluzione zero-trust e zero-knowledge basata sul cloud che fornisce ai team DevSecOps una cassaforte centralizzata ottimizzata per gli ambienti DevOps. Keeper Secrets Manager fa sì che tutti i server, le pipeline CI/CD, gli ambienti degli sviluppatori e il codice sorgente estraggano i segreti da un endpoint API sicuro. Ogni segreto viene crittografato con una chiave AES a 256 bit, a sua volta crittografata con un’altra chiave AES-256 dell’applicazione.
Keeper Secrets Manager, una soluzione supplementare della piattaforma Enterprise Password Management (EPM) di Keeper, è integrato nella cassaforte web, nella console di amministrazione e nell’app per desktop. In più, offre ulteriori integrazioni nel modulo di segnalazione e avvisi avanzati di Keeper, nello strumento di monitoraggio del dark web BreachWatch, nell’integrazione SIEM, nei webhook e nelle soluzioni di conformità.
Richiedi una demo di Keeper Secrets Manager per scoprire come la tua azienda può eliminare la diffusione dei segreti e proteggere il tuo ambiente.
Teresa Rothaar
Teresa Rothaar is a governance, risk, and compliance (GRC) analyst at Keeper Security. In this role, she spearheads employee cybersecurity awareness training; maintains the company’s RFP response library; creates and maintains internal security policies; develops automated GRC processes to achieve robust risk management and compliance results; performs external vendor risk assessments; and facilitates third-party certification audits. Prior to joining Keeper, she spent six years as a cybersecurity copywriter, where she produced hundreds of blogs and ghostwritten articles, dozens of whitepapers and case studies, and other thought leadership content for cybersecurity firms ranging from small startups to multinational corporations. She holds an MBA and an M.S. in management information systems from Wilmington University, and a B.S. in mathematics and computer science from Temple University.
Ricevi le ultime notizie e gli aggiornamenti sulla sicurezza informatica direttamente nella tua casella di posta.
Condividi questo blog
Potrebbe piacerti anche
Come creare una traccia digitale positiva
La tua traccia digitale è la traccia dei dati che lasci online. È importante avere una traccia digitale positiva per mantenere buone relazioni, aiutarti in tutte le tue iniziative personali e professionali e tenere a bada...