Вы умеете хранить секреты? А как насчет среды обработки данных вашей организации?
В ИТ-сети «секрет» — это любые компактные данные, которые должны оставаться конфиденциальными. Как правило, секреты используются для аутентификации или в качестве входных данных для криптографического алгоритма. К числу распространенных секретов относятся:
- учетные данные привилегированных учетных записей,
- ключи SSH,
- API и другие ключи приложения и учетные данные, включая те, которые используются в контейнерах, системах CI/CD, процессах автоматизации, ПО для протоколов удаленных рабочих столов (RDP) и даже программном обеспечении для безопасности,
- базы данных и другие пароли к системам,
- TLS/SSL и другие частные сертификаты для безопасного обмена сообщениями,
- закрытые ключи шифрования,
Поскольку секреты ИТ-сети открывают доступ к системам и данным с высоким уровнем привилегий, защита секретов так же важна для предотвращения кибератак, как и защита паролей конечных пользователей. Около 75% атак программ-вымогателей связаны со скомпрометированными учетными данным и — чаще всего учетными данными RDP.
Как секреты становятся скомпрометированными?
Одной из самых больших проблем управления секретами является их разрастание, которое происходит, когда организации используют несистемный подход к управлению секретами. Разные отделы, группы и даже члены одной команды независимо управляют подконтрольными им секретами.
На первый взгляд, этот подход может показаться разумным. Например, новому микросайту необходимо получить доступ к базе данных. У администратора уже есть файл конфигурации, содержащий конфиденциальные данные, поэтому почему бы не защитить ключ доступа к базе данных в том же файле конфигурации, а затем убедиться в том, что файл защищен? Это работает, когда организация имеет относительно небольшое количество секретов для защиты.
Однако по мере роста организаций растут и их среды обработки данных и секреты, хранящиеся в них. Прежде чем ИТ-отдел осознает это, секреты уже размножаются как трибблы — одних только SSH-ключей может быть несколько тысяч — и они разбросаны по всей сети, причем без определенного порядка.
Еще одним препятствием для управления секретами являются закодированные или встроенные учетные данные. Многие программные решения, IoT-устройства и другие аппаратные средства поставляются с закодированными учетными данными по умолчанию. Если эти устройства и приложения будут развернуты без изменения учетных данных по умолчанию, злоумышленники смогут легко получить к ним доступ с помощью средств сканирования в сочетании с атакой методом подбора или другими атаками на пароли, или они смогут просто заглянуть руководство пользователя устройства или приложения, которое содержит учетные данные по умолчанию.
В средах DevOps такие распространенные инструменты конвейера CI/CD, как Jenkins, Ansible, Github Actions и Azure DevOps, используют секреты для доступа к базам данных, серверам SSH, службам HTTP и другим конфиденциальным системам. Эти секреты либо хранятся в файле конфигурации для системы развертывания, либо в одном из десятка различных хранилищ, каждое из которых предоставляет совершенно разные возможности в зависимости от продукта. В сценарии, когда администраторы не хранят учетные данные в файлах конфигурации или системах, они, скорее всего, хранятся в их средах DevOps. В любом случае администраторы могут иметь или не иметь возможности аудита или оповещения об использовании этих секретов.
Хотя некоторые средства включают встроенные менеджеры секретов, которые позволяют организациям удалять жестко закодированные/встроенные учетные данные, менеджеры секретов работают только с этими средствами, что не решает проблему разрастания секретов.
Keeper Secrets Manager: безопасность с нулевым доверием и нулевым разглашением для секретов вашей сети
Keeper с радостью сообщает о запуске Keeper Secrets Manager, первого и единственного облачного решения с нулевым доверием и нулевым разглашением для защиты секретов инфраструктуры. Keeper Secrets Manager полностью управляем и использует новую запатентованную архитектуру безопасности. Кроме того, оно использует ту же модель безопасности с нулевым разглашением, что и высокорейтинговая платформа Enterprise Password Management (EPM).
С помощью Keeper Secrets Manager все серверы, конвейеры CI/CD, среды разработки и исходный код получают секреты из защищенной конечной точки API. Каждый секрет шифруется 256-битным ключом AES, который в свою очередь шифруется другим ключом приложения AES-256. Клиентское устройство извлекает зашифрованные данные из облака Keeper, а секреты расшифровываются и используются локально на устройстве, а не на серверах Keeper.
Ready to see Keeper Secrets Manager for yourself?
Talk to an Expert
Кроме того, все запросы к серверу дополнительно шифруются с помощью ключа передачи AES-256 поверх TLS, чтобы предотвращать атаки типа «злоумышленник в середине» (MITM) или атак повторного воспроизведения. Если вы подсчитываете, то это много ключей шифрования! Эта многоуровневая криптография обрабатывается прозрачно с помощью наших клиентских SDK, которые легко интегрируются в любую среду.
В то время как конкурирующие решения для управления секретами требуют от клиентов покупки специальных аппаратных средств, установки прокси-службы или использования определенного поставщика облачных услуг, Keeper Secrets Manager легко интегрируется практически в любую среду обработки данных, не требуя ни дополнительного оборудования, ни облачной инфраструктуры. Оно предлагает готовые интеграции с широким спектром инструментов DevOps, включая GitHub Actions, Kubernetes, Ansible и другие.
Keeper Secrets Manager является естественным расширением Keeper Enterprise Password Manager (EPM). Это расширение включено в Web-хранилище Keeper, приложение для настольных ПК и консоль администратора с интеграцией с модулем расширенной отчетности и предупреждений Keeper, BreachWatch, Webhooks, инструментами интеграции и соответствия SIEM. Например, любые жестко закодированные или встроенные учетные данные, хранящиеся в Keeper Vault организации, будут подвергаться сканированию BreachWatch, а ИТ-администраторы будут уведомлены, если какие-либо из этих учетных данных будут скомпрометированы.
Узнайте больше о Keeper Secrets Manager и попробуйте демонстрационную версию!