Зачем специалистам DevSecOps нужно управление секретами?

Правильное управление ИТ-секретами важно для защиты вашей организации от киберугроз, особенно в средах DevOps, где распространенные инструменты конвейера CI/CD, такие как Jenkins, Ansible, Github Actions и Azure DevOps, используют секреты для доступа к базам данных, SSH-серверам, службам HTTP и другим особо важным системам.

Несмотря на исключительную важность управления секретами, отчет Keeper о кибербезопасности 2022 года (2022 Cybersecurity Census) показал, что почти у трети организаций (32%) нет специального решения для защиты своих секретов. Кроме того, 84% обеспокоены рисками, связанными с жестко закодированными учетными данными в исходном коде, а 25% не имеют программного обеспечения для их удаления.

Что такое DevSecOps?

Прежде чем дать определение DevSecOps, необходимо понять, что такое DevOps. DevOps — это философия разработки программного обеспечения, которая направлена на устранение разделения между разработкой программного обеспечения и ИТ-операциями (отсюда и название «DevOps») с целью более быстрого создания качественного программного обеспечения. DevOps дополняет гибкую разработку программного обеспечения и в значительной степени опирается на автоматизацию процессов в течение всего жизненного цикла разработки программного обеспечения (SDLC).

Однако DevOps — это не только разработка и операции; безопасности нужно отвести не менее значимую роль. Отсюда и появление DevSecOps, цель которого заключается в интеграции инициатив по обеспечению безопасности на каждом уровне SDLC для быстрого создания не только надежных, но и безопасных приложений.

Что такое управление секретами?

Под управлением секретами понимаются инструменты и методы, используемые для управления учетными данными аутентификации, обеспечивающими доступ к высокопривилегированным системам и конфиденциальной информации.

По большому счету секреты — это всего лишь пароли. Однако, в отличие от других паролей, секреты используются приложениями и машинами, а не людьми. К распространенным типам секретов относятся:

• учетные данные для входа, не связанные с человеком, например для учетных записей служб,
• базы данных и другие пароли к системам,
• криптографические ключи и ключи шифрования,
• учетные данные доступа к облачным сервисам,
• ключи интерфейса прикладного программирования (API),
• маркеры доступа,
• ключи SSH (Secure Shell).

Помимо защиты ИТ-секретов от киберугроз, преимущества решений для управления секретами заключаются в том, что они обеспечивают командам DevSecOps видимость среды данных, помогают им предотвратить разрастание секретов и упрощают безопасный обмен секретами.

Проблемы управления секретами для команд DevSecOps.

Команды DevSecOps сталкиваются со значительными рисками и проблемами, связанными с управлением секретами. Рассмотрим самые распространенные проблемы.

1. Разрастание секретов

Разрастание секретов — это когда организация хранит секреты по всей сети, не используя решение для их организации, управления и защиты. Эта проблема усугубляется широким внедрением SaaS-приложений и облачных нативных моделей разработки, которые резко увеличили количество секретов, организаций, одновременно децентрализовав их хранение. В таких средах командам DevOps не хватает видимости и единых политик управления, необходимых для контроля над своими секретами, что расширяет поверхность атаки и повышает риск утечки данных.

2. Жестко закодированные и встроенные учетные данные

Жестко закодированные/встроенные учетные данные являются основным фактором как разрастания секретов, так и утечки данных. Многие интеллектуальные устройства, другие аппаратные и даже программные платформы поставляются с жестко закодированными учетными данными по умолчанию. Предполагается, что эти учетные данные должны быть изменены до развертывания продукта, но если команды DevSecOps не имеют доступа к своей среде обработки данных, это происходит не всегда. Когда устройства и приложения развертываются без изменения учетных данных по умолчанию, злоумышленники могут легко получить к ним доступ, используя средства сканирования в сочетании с руководством по эксплуатации устройства или приложения. Эти руководства легко доступны в Интернете и содержат учетные данные по умолчанию.

Кроме того, разработчики иногда добавляют секреты жесткого кода в исходный код. Это серьезное нарушение рекомендаций по обеспечению безопасности приложений, но без видимости команды DevSecOps не могут эффективно предотвратить это.

3. Множественные и разрозненные наборы инструментов

Многие инструменты, используемые в средах DevSecOps, включают встроенные менеджеры секретов, которые позволяют командам удалять жестко закодированные/встроенные учетные данные. Однако эти инструменты управления секретами являются собственными и работают только с теми решениями, с которыми они поставляются в комплекте, что не решает более широкую проблему разрастания секретов.

4. Неправильные методы защиты паролей

Как упоминалось ранее в этом блоге, секреты — это не что иное, как еще один тип паролей, а значит, они подвержены тем же проблемам безопасности, что и другие пароли. Иногда секреты хранятся в виде обычного текста, что делает доступ к ним незащищенным. Члены команды могут повторно использовать секреты в разных приложениях или выбирать слабые секреты, например шаблоны клавиатуры или словарные слова. Секреты нельзя изменить или отозвать, когда сотрудники, имевшие к ним доступ, покидают компанию. Все эти проблемы значительно повышают вероятность компрометации, которая может привести к утечке данных.

На что обратить внимание в решении для управления секретами DevSecOps?

Лучший способ борьбы с разрастанием секретов и предотвращения утечки данных — использовать специализированное решение для управления секретами, включающее безопасное централизованное хранилище для секретов.

Оценивая решения для управления секретами DevSecOps, обратите внимание на следующие характеристики.

• Гибкая модель развертывания. Современные среды передачи данных очень сложны, и каждая из них уникальна. Убедитесь, что менеджер секретов работает во всех средах, будь то локальная, облачная, мультиоблачная или гибридная.
• Шифрование AES. Для эффективной защиты секретов менеджер секретов должен шифровать данные как при передаче, так и при хранении, но это еще не все. Убедитесь, что выбранное вами решение использует 256-битное шифрование AES — золотой стандарт, применяемый банками и государственными учреждениями.
• Интеграция с другими приложениями и сервисами. Решение для управления секретами вашей организации должно легко интегрироваться с популярными системами CI/CD и всеми другими инструментами, используемыми в среде разработчиков.

Как Keeper защищает секреты вашей компании?

Keeper Secrets Manager — это облачное решение с нулевым доверием и нулевым разглашением, которое предоставляет командам DevSecOps централизованное хранилище, оптимизированное для сред DevOps. Keeper Secrets Manager позволяет всем серверам, конвейерам CI/CD, средам разработчиков и исходному коду получать секреты из защищенной конечной точки API. Каждый секрет шифруется 256-битным ключом AES, который шифруется другим ключом приложения AES-256.

Keeper Secrets Manager, дополняющий платформу Keeper Enterprise Password Management (EPM), встроен в ваше Web-хранилище, консоль администратора и приложение для настольных компьютеров. Он также предлагает дальнейшую интеграцию с модулем расширенной отчетности и оповещений Keeper, средством мониторинга даркнета BreachWatch, интеграцией SIEM, веб-перехватчиками и решениями для соответствия требованиям.

Запросите демонстрацию Keeper Secrets Manager, чтобы узнать, как ваша компания может устранить разрастание секретов и обеспечить безопасность своей среды.