Зачем специалистам DevSecOps нужно управление секретами?
опубликованный
, дата публикации:
26 января, 2023
Поделитесь этим блогом
Написано
Teresa Rothaar
Правильное управление ИТ-секретами важно для защиты вашей организации от киберугроз, особенно в средах DevOps, где распространенные инструменты конвейера CI/CD, такие как Jenkins, Ansible, Github Actions и Azure DevOps, используют секреты для доступа к базам данных, SSH-серверам, службам HTTP и другим особо важным системам.
Несмотря на исключительную важность управления секретами, отчет Keeper о кибербезопасности 2022 года (2022 Cybersecurity Census) показал, что почти у трети организаций (32%) нет специального решения для защиты своих секретов. Кроме того, 84% обеспокоены рисками, связанными с жестко закодированными учетными данными в исходном коде, а 25% не имеют программного обеспечения для их удаления.
Что такое DevSecOps?
Прежде чем дать определение DevSecOps, необходимо понять, что такое DevOps. DevOps — это философия разработки программного обеспечения, которая направлена на устранение разделения между разработкой программного обеспечения и ИТ-операциями (отсюда и название «DevOps») с целью более быстрого создания качественного программного обеспечения. DevOps дополняет гибкую разработку программного обеспечения и в значительной степени опирается на автоматизацию процессов в течение всего жизненного цикла разработки программного обеспечения (SDLC).
Однако DevOps — это не только разработка и операции; безопасности нужно отвести не менее значимую роль. Отсюда и появление DevSecOps, цель которого заключается в интеграции инициатив по обеспечению безопасности на каждом уровне SDLC для быстрого создания не только надежных, но и безопасных приложений.
Что такое управление секретами?
Под управлением секретами понимаются инструменты и методы, используемые для управления учетными данными аутентификации, обеспечивающими доступ к высокопривилегированным системам и конфиденциальной информации.
По большому счету секреты — это всего лишь пароли. Однако, в отличие от других паролей, секреты используются приложениями и машинами, а не людьми. К распространенным типам секретов относятся:
учетные данные для входа, не связанные с человеком, например для учетных записей служб,
Помимо защиты ИТ-секретов от киберугроз, преимущества решений для управления секретами заключаются в том, что они обеспечивают командам DevSecOps видимость среды данных, помогают им предотвратить разрастание секретов и упрощают безопасный обмен секретами.
Проблемы управления секретами для команд DevSecOps.
Команды DevSecOps сталкиваются со значительными рисками и проблемами, связанными с управлением секретами. Рассмотрим самые распространенные проблемы.
1. Разрастание секретов
Разрастание секретов — это когда организация хранит секреты по всей сети, не используя решение для их организации, управления и защиты. Эта проблема усугубляется широким внедрением SaaS-приложений и облачных нативных моделей разработки, которые резко увеличили количество секретов, организаций, одновременно децентрализовав их хранение. В таких средах командам DevOps не хватает видимости и единых политик управления, необходимых для контроля над своими секретами, что расширяет поверхность атаки и повышает риск утечки данных.
2. Жестко закодированные и встроенные учетные данные
Жестко закодированные/встроенные учетные данные являются основным фактором как разрастания секретов, так и утечки данных. Многие интеллектуальные устройства, другие аппаратные и даже программные платформы поставляются с жестко закодированными учетными данными по умолчанию. Предполагается, что эти учетные данные должны быть изменены до развертывания продукта, но если команды DevSecOps не имеют доступа к своей среде обработки данных, это происходит не всегда. Когда устройства и приложения развертываются без изменения учетных данных по умолчанию, злоумышленники могут легко получить к ним доступ, используя средства сканирования в сочетании с руководством по эксплуатации устройства или приложения. Эти руководства легко доступны в Интернете и содержат учетные данные по умолчанию.
Кроме того, разработчики иногда добавляют секреты жесткого кода в исходный код. Это серьезное нарушение рекомендаций по обеспечению безопасности приложений, но без видимости команды DevSecOps не могут эффективно предотвратить это.
3. Множественные и разрозненные наборы инструментов
Многие инструменты, используемые в средах DevSecOps, включают встроенные менеджеры секретов, которые позволяют командам удалять жестко закодированные/встроенные учетные данные. Однако эти инструменты управления секретами являются собственными и работают только с теми решениями, с которыми они поставляются в комплекте, что не решает более широкую проблему разрастания секретов.
4. Неправильные методы защиты паролей
Как упоминалось ранее в этом блоге, секреты — это не что иное, как еще один тип паролей, а значит, они подвержены тем же проблемам безопасности, что и другие пароли. Иногда секреты хранятся в виде обычного текста, что делает доступ к ним незащищенным. Члены команды могут повторно использовать секреты в разных приложениях или выбирать слабые секреты, например шаблоны клавиатуры или словарные слова. Секреты нельзя изменить или отозвать, когда сотрудники, имевшие к ним доступ, покидают компанию. Все эти проблемы значительно повышают вероятность компрометации, которая может привести к утечке данных.
На что обратить внимание в решении для управления секретами DevSecOps?
Лучший способ борьбы с разрастанием секретов и предотвращения утечки данных — использовать специализированное решение для управления секретами, включающее безопасное централизованное хранилище для секретов.
Оценивая решения для управления секретами DevSecOps, обратите внимание на следующие характеристики.
Гибкая модель развертывания. Современные среды передачи данных очень сложны, и каждая из них уникальна. Убедитесь, что менеджер секретов работает во всех средах, будь то локальная, облачная, мультиоблачная или гибридная.
Шифрование AES. Для эффективной защиты секретов менеджер секретов должен шифровать данные как при передаче, так и при хранении, но это еще не все. Убедитесь, что выбранное вами решение использует 256-битное шифрование AES — золотой стандарт, применяемый банками и государственными учреждениями.
Интеграция с другими приложениями и сервисами. Решение для управления секретами вашей организации должно легко интегрироваться с популярными системами CI/CD и всеми другими инструментами, используемыми в среде разработчиков.
Как Keeper защищает секреты вашей компании?
Keeper Secrets Manager — это облачное решение с нулевым доверием и нулевым разглашением, которое предоставляет командам DevSecOps централизованное хранилище, оптимизированное для сред DevOps. Keeper Secrets Manager позволяет всем серверам, конвейерам CI/CD, средам разработчиков и исходному коду получать секреты из защищенной конечной точки API. Каждый секрет шифруется 256-битным ключом AES, который шифруется другим ключом приложения AES-256.
Keeper Secrets Manager, дополняющий платформу Keeper Enterprise Password Management (EPM), встроен в ваше Web-хранилище, консоль администратора и приложение для настольных компьютеров. Он также предлагает дальнейшую интеграцию с модулем расширенной отчетности и оповещений Keeper, средством мониторинга даркнета BreachWatch, интеграцией SIEM, веб-перехватчиками и решениями для соответствия требованиям.
Запросите демонстрацию Keeper Secrets Manager, чтобы узнать, как ваша компания может устранить разрастание секретов и обеспечить безопасность своей среды.
Teresa Rothaar
Teresa Rothaar is a governance, risk, and compliance (GRC) analyst at Keeper Security. In this role, she spearheads employee cybersecurity awareness training; maintains the company’s RFP response library; creates and maintains internal security policies; develops automated GRC processes to achieve robust risk management and compliance results; performs external vendor risk assessments; and facilitates third-party certification audits. Prior to joining Keeper, she spent six years as a cybersecurity copywriter, where she produced hundreds of blogs and ghostwritten articles, dozens of whitepapers and case studies, and other thought leadership content for cybersecurity firms ranging from small startups to multinational corporations. She holds an MBA and an M.S. in management information systems from Wilmington University, and a B.S. in mathematics and computer science from Temple University.
Получайте последние новости и обновления в области кибербезопасности прямо в свой почтовый ящик
Поделитесь этим блогом
Вам также может понравиться
Как создать положительный цифровой след?
Ваш цифровой след — это след от данных, которые вы оставляете в Интернете. Важно иметь положительный цифровой след, чтобы поддерживать отношения, помогать в личных и профессиональных делах, а также держать злоумышленников на расстоянии. Чтобы создать положительный цифровой...