Por que as equipes de DevSecOps precisam do gerenciamento de segredos

Um gerenciamento de segredos de TI adequado é essencial para proteger sua organização contra ameaças cibernéticas, especialmente em ambientes de DevOps nos quais ferramentas comuns de pipeline de CI/CD, como Jenkins, Ansible, Github Actions e Azure DevOps, utilizam segredos para acessar bancos de dados, servidores SSH, serviços HTTPs e outros sistemas altamente confidenciais.

Apesar da importância crítica do gerenciamento de segredos, o Relatório do censo de segurança cibernética de 2022 da Keeper revelou que quase um terço das organizações (32%) não possuem uma solução dedicada para proteger seus segredos. Além disso, impressionantes 84% têm receios sobre os riscos associados a credenciais codificadas no código-fonte, e 25% não possuem software em vigor para removê-las.

O que são DevSecOps?

Antes de explicar as DevSecOps, é preciso entender as DevOps. DevOps é uma filosofia de desenvolvimento de software que busca quebrar silos entre o desenvolvimento de software e operações de TI (daí o nome “DevOps”, do inglês “Development Operations”), com o objetivo de fornecer softwares de qualidade com maior rapidez. As DevOps são complementares ao desenvolvimento de software ágil e conta fortemente com a automação de processos durante o ciclo de vida do desenvolvimento de software (SDLC) inteiro.

No entanto, as DevOps não se limitam apenas ao desenvolvimento e operações; a segurança precisa de um lugar de destaque nesse cenário. Por isso a introdução das DevSecOps, que buscam integrar iniciativas de segurança em cada nível do SDLC para fornecer aplicativos rapidamente que, além de serem robustos, também são seguros.

O que é gerenciamento de segredos?

O gerenciamento de segredos refere-se às ferramentas e aos métodos utilizados para gerenciar credenciais de autenticação que acessam sistemas altamente privilegiados e informações confidenciais.

Na verdade, no grande esquema das coisas, segredos são apenas senhas. No entanto, ao contrário de outras senhas, segredos são utilizados por aplicativos e máquinas, e não por humanos. Tipos comuns de segredos incluem:

• Credenciais de login não humano, como para contas de serviço
• Senhas de bancos de dados e de outros sistemas para sistemas.
• Chaves criptográficas e de criptografia
• Credenciais de acesso a serviços em nuvem
• Chaves de interfaces de programação de aplicativo (APIs)
• Tokens de acesso
• Chaves SSH (Secure Shell)

Além de proteger segredos de TI dos malfeitores cibernéticos, os benefícios das soluções de gerenciamento de segredos incluem fornecer às equipes de DevSecOps visibilidade sobre seu ambiente de dados, ajudar a impedir a disseminação de segredos e facilitar o compartilhamento de segredos com segurança.

Desafios do gerenciamento de segredos para DevSecOps

Equipes de DevSecOps enfrentam riscos e desafios significativos no gerenciamento de segredos. Vamos examinar os problemas mais comuns.

1. Disseminação de segredos

A disseminação de segredos é quando uma organização armazena segredos na rede inteira, sem utilizar uma solução para organizar, gerenciar e protegê-las. Esse problema é agravado pela adoção generalizada de aplicativos SaaS e modelos de desenvolvimento nativos de nuvem, que aumentaram drasticamente o número de segredos que as organizações possuem, enquanto descentralizam seu armazenamento. Nesse tipo de ambiente, equipes de DevOps não têm a visibilidade e as políticas de gerenciamento uniforme necessárias para manter seus segredos sob controle, o que amplia a superfície de ataque da organização e eleva o risco de uma violação de dados.

2. Credenciais codificadas e incorporadas

Credenciais codificadas/incorporadas são uma das principais causas de segredos disseminados e violações de dados. Muitos dispositivos inteligentes, outros hardwares e até mesmo plataformas de software são fornecidos com credenciais padrão codificadas. Essas credenciais devem ser alteradas antes de implantar o produto, porém, se as equipes de DevOps não tiverem visibilidade sobre seu ambiente de dados, isso nem sempre acontece. Quando dispositivos e aplicativos são implantados sem alterar as credenciais padrão, cibercriminosos podem acessá-los facilmente utilizando ferramentas de varredura em conjunto com o manual do usuário do dispositivo ou do aplicativo. Esses manuais estão prontamente disponíveis online e contêm as credenciais padrão.

Além disso, às vezes os desenvolvedores codificam segredos no código-fonte. Isso é uma violação grave das práticas recomendadas de segurança de aplicativos, mas, sem visibilidade, as equipes de DevSecOps não podem evitá-la com eficácia.

3. Vários conjuntos de ferramentas diferentes

Muitas ferramentas utilizadas em ambientes de DevSecOps incluem gerenciadores de segredos integrados, permitindo que as equipes removam credenciais codificadas/incorporadas. No entanto, essas ferramentas de gerenciamento de segredos são proprietárias e funcionam apenas com as soluções às quais são integradas, o que não soluciona o problema mais amplo da disseminação de segredos.

4. Práticas inadequadas de segurança de senhas

Conforme mencionado anteriormente neste blog, segredos são apenas outro tipo de senha, o que significa que estão sujeitos aos mesmos problemas de segurança que outras senhas. Às vezes, segredos são armazenados em texto simples, deixando o acesso a eles desprotegido. Membros de equipes podem reutilizar segredos entre aplicativos ou definir segredos fracos, como padrões de teclado ou palavras do dicionário. Segredos podem não ser alterados ou revogados quando funcionários com acesso a eles deixam a empresa. Todos esses problemas aumentam significativamente as chances de comprometimento, o que pode levar a uma violação de dados.

O que procurar em uma solução de gerenciamento de segredos de DevSecOps

A melhor maneira de combater a disseminação de segredos e impedir violações de dados é utilizar uma solução de gerenciamento de segredos dedicada que inclua um cofre seguro e centralizado para armazenar segredos.

Ao avaliar soluções de gerenciamento de segredos de DevSecOps, procure pelos seguintes recursos:

• Um modelo de implantação flexível — os ambientes de dados atuais são altamente complexos, e cada um é único. Certifique-se de que seu gerenciador de segredos funcione em seu ambiente inteiro, seja no local, na nuvem ou em uma configuração multinuvem ou híbrida.
• Criptografia AES — para proteger segredos de forma eficaz, um gerenciador de segredos deve criptografar dados em trânsito e armazenados, mas isso não é tudo. Certifique-se de que a solução escolhida utilize criptografia AES de 256 bits, o padrão ouro utilizado por bancos e agências governamentais.
• Integração com outros aplicativos e serviços — a solução de gerenciamento de segredos da sua organização deve ser perfeitamente integrada a sistemas de CI/CD populares e a todas as outras ferramentas utilizadas em seus ambientes de desenvolvimento.

Como o Keeper protege os segredos da sua empresa

O Keeper Secrets Manager é uma solução baseada em nuvem, de confiança zero e conhecimento zero que oferece às equipes de DevSecOps um cofre centralizado e otimizado para ambientes de DevOps. O Keeper Secrets Manager permite que todos os servidores, pipelines de CI/CD, ambientes de desenvolvimento e códigos-fonte extraiam segredos a partir de um terminal de API seguro. Cada segredo é criptografado com uma chave AES de 256 bits criptografada por outra chave de aplicativo AES-256.

Como uma solução complementar da plataforma Keeper Enterprise Password Management (EPM), o Keeper Secrets Manager é incorporado ao seu cofre da web, ao console de administração e ao aplicativo para desktop. Ele também oferece integrações adicionais com o módulo de relatórios e alertas avançados do Keeper, a ferramenta de monitoramento da dark web BreachWatch, integração SIEM, webhooks e soluções de conformidade.

Solicite uma demonstração do Keeper Secrets Manager para ver como sua empresa pode eliminar a disseminação de segredos e proteger o seu ambiente.