Você pode se proteger contra o roubo de identidade protegendo seu número de CPF e outros documentos confidenciais, revisando regularmente seus relatórios de crédito, usando uma
O gerenciamento de segredos é parte integral da segurança de contêineres. O código do aplicativo depende geralmente de segredos de infraestrutura, como chaves de API, senhas e tokens de acesso. Os desenvolvedores e as equipes de DevOps, por muitas vezes, codificam esses segredos em imagens de contêiner ou os inserem em variáveis de ambiente. Ambos os métodos deixam os segredos desprotegidos. Além disso, a codificação de segredos une o processo de gerenciamento de segredos ao processo de desenvolvimento. Isso significa que alterar ou rotacionar um segredo requer refatoração e nova implementação do código.
Embora a CLI do Docker inclua comandos de gerenciamento de segredos, eles funcionam apenas com clusters do Swarm, não com contêineres independentes. Para contornar essa restrição, os usuários podem definir segredos em um arquivo Docker Compose por meio de um campo de segredos de nível superior. No entanto, será necessário que os administradores armazenem segredos em arquivos de configuração (ou seja, texto comum), montados em seus contêineres e lidos por aplicativos. Se esses arquivos forem alocados no controle de origem, qualquer pessoa com acesso ao repositório poderá acessá-los.
Além de ser perigoso, armazenar segredos do Docker em arquivos de texto contribui com a dispersão de segredos, um cenário em que os segredos de infraestrutura são armazenados em toda a rede, sem nenhuma ordem específica. A princípio, isso pode não parecer um grande problema, principalmente quando uma empresa tem um número relativamente baixo de segredos, mas, à medida que as empresas crescem, seus segredos de infraestrutura se multiplicam exponencialmente. Por exemplo, só as chaves SSH podem chegar a milhares.
Segredos do Docker protegidos sem Swarm, ou espalhamento
O Keeper Secrets Manager (KSM), é a primeira e única solução de conhecimento zero e confiança zero baseada em nuvem para proteger segredos de infraestrutura. Ela permite que desenvolvedores e equipes de DevOps protejam os segredos do Docker com facilidade, além de todos os outros segredos de infraestrutura, aprimorando a segurança de contêineres enquanto elimina a dispersão de segredos em todo o ambiente de dados.
O KSM oferece aos desenvolvedores e às equipes de DevOps três métodos principais para proteger os segredos do Docker.
1. Criar uma imagem com segredos usando o BuildKit
O uso do Docker BuildKit permite que os segredos do Keeper Vault sejam integrados em um contêiner do Docker. A partir do Docker 18.09 ou posterior, a criação de imagens suporta a função de transmitir segredos por meio de um sistema de arquivos montado. Esse método é parecido com o processo de assar um bolo, com seus segredos bem guardados. Para obter mais detalhes e um exemplo prático, consulte nossa documentação. Nela, demonstramos esse método criando uma conta de usuário na imagem de destino com um nome de usuário e senha do Keeper Secrets Manager.
2. Criar uma imagem com segredos usando argumentos de compilação
Com base na analogia do bolo no método 1, esse método é como fazer um bolo dinâmico; ele consegue “ligar para casa” (o Cofre) para pedir a receita (os segredos) quando necessário, em tempo de execução.
Nesse método, os segredos são transmitidos pelo –build-arg. Basta definir as variáveis de ambiente com a notação do Keeper para os segredos necessários e usar o comando ksm exec para criar a compilação do Docker com os segredos necessários. Visite nossa documentação para obter mais detalhes e outro exemplo prático.
3. Usar a imagem KSM Docker Writer
O KSM Docker Writer, é uma imagem do Docker de uso geral que simplifica a segurança dos segredos do Docker ao baixar automaticamente arquivos de segredos e gerar um arquivo que contém segredos. A imagem KSM Docker Writer pode ser extraída ao executar o seguinte comando CLI:
$ docker pull keeper/keeper-secrets-manager-writer
Após executado, seus parâmetros são transmitidos por meio de variáveis de ambiente.
$ docker run \
-v $PWD:/wd –workdir /wd \
-e “KSM_CONIFG=BASE64 CONFIG” \
-e “SECRETS=JfXpSQ2nZG6lkdl1rxB0dg/file/example.crt >
file:example.crt”
keeper/keeper-secrets-manager-writer
Ao usar o KSM Docker Writer, todo o código-fonte dentro das imagens extrai segredos de um terminal de API seguro, não de um arquivo de texto! Cada segredo é criptografado com uma chave AES de 256 bits criptografada por outra chave de aplicativo AES-256. O dispositivo cliente recupera o texto cifrado criptografado da nuvem do Keeper e os segredos são descriptografados e usados localmente no dispositivo, não nos servidores do Keeper. Além disso, todas as solicitações do servidor são criptografadas com uma chave de transmissão AES-256 no topo do TLS para evitar ataques MITM ou de repetição. Essa criptografia de várias camadas é tratada de maneira transparente por meio dos SDKs do lado do cliente do Keeper, fáceis de integrar em qualquer ambiente.
A integração de ferramentas de orquestração como o Kubernetes e o Docker Compose é um ótimo exemplo do uso da imagem KSM Docker Writer. A imagem KSM pode obter os segredos necessários durante uma inicialização, além de compartilhar esses segredos com outros contêineres que dependem deles. Em nossa documentação, temos um exemplo que usa o Docker Compose que utiliza um volume compartilhado para armazenar os segredos.
Use o KSM para proteger todos os seus segredos de infraestrutura
O uso do KSM não se limita ao Docker ou aos contêineres. O KSM protege os segredos usados pelo código-fonte em todo o ecossistema de TI de uma empresa, bem como servidores, pipelines CI/CD e ambientes de desenvolvedor. Além disso, como o KSM é uma extensão natural do gerenciador de senhas corporativas (EPM), ele está totalmente integrado no Cofre da Web do Keeper, no aplicativo de desktop e no console de administração. O KSM também se integra perfeitamente ao módulo ARAM (Advanced Reporting and Alerts) do Keeper, ao BreachWatch, aos Webhooks, à integração de SIEM e às ferramentas de conformidade.
O uso do KSM em vez da codificação, variáveis de ambiente ou arquivos de configuração elimina a dispersão de segredos, reduz drasticamente os riscos de comprometimento de segredos não intencionais e armazena segredos de infraestrutura dentro do EPM de conhecimento zero do Keeper. Isso dá aos administradores e à equipe de DevOps os mesmos benefícios e controle dos segredos de infraestrutura que o Keeper oferece sobre as senhas de usuário. Os benefícios incluem: rotação de segredos simplificada, controle de acesso baseado em função (RBAC) e integração com complementos como o BreachWatch, que escaneia a dark web em busca de credenciais comprometidas e alerta os administradores de TI se alguma foi descoberta.
O Keeper Secrets Manager é totalmente gerenciado e utiliza uma nova arquitetura de segurança de patente pendente. Ao contrário das soluções de gerenciamento de segredos concorrentes, o KSM se integra a praticamente qualquer ambiente de dados, sem necessidade de hardware adicional ou infraestrutura hospedada em nuvem e integrações prontas para uso com uma ampla variedade de ferramentas de DevOps, incluindo Github Actions, Kubernetes, Ansible e muito mais.
Ainda não é cliente do Keeper? Inscreva-se para uma avaliação gratuita de 14 dias agora! Quer saber mais sobre como o Keeper pode ajudar sua empresa a evitar violações de segurança? Entre em contato com nossa equipe hoje.