近年来,通过网络浏览器远程访问公司资源呈指数级增长。
您能保管好机密吗? 贵组织的数据环境如何?
在 IT 网络中,任何必须保持机密性、经过压缩的数据都被称为“机密” (secret)。 通常,人们使用机密进行身份验证或作为访问加密算法的输入凭证。 常见的机密类型包括:
- 特权帐户凭证
- SSH(安全外壳)密钥
- API 及其他应用密钥和凭证,包括容器、CI/CD 系统、自动化流程、远程桌面协议 (RDP) 软件甚至安全软件中使用的密钥和凭证
- 数据库和其他系统对系统密码。
- TLS/SSL 和其他安全通信私有证书
- 私有加密密钥
由于 IT 网络机密可以解锁对高特权系统和数据的访问,因此保护机密对于防范网络攻击与保护最终用户密码同样重要。 约 75% 的勒索软件攻击会导致凭证数据泄露 – 大多数情况下为 RDP 凭证泄露。
机密如何被泄露
机密管理的最大挑战之一是机密蔓延,当组织使用临时方法进行机密管理时,就会发生这种情况。 不同的部门、团队甚至团队成员都对自己掌握的机密进行独立管理。
这种方法粗看下似乎合理。 例如,有一个新微站需要访问数据库。 管理员已经有一个含有敏感数据的配置文件,那么为什么不将数据库访问密钥放入同一配置文件,然后确保该文件的安全? 当组织需要保护的机密数量相对较少时,这种方法是有效的。
但随着组织发展壮大,其数据环境和存储其中的机密也在不断增加。在 IT 团队意识到这一点之前,机密已经像 Tribbles 一样成倍增长,仅 SSH 密钥就可能达到数千个,并且散布在网络中,没有特定规律可循。
硬编码或嵌入凭证是机密管理的另一个障碍。 许多软件解决方案、物联网设备和其他硬件都附带硬编码的默认凭证。 如果这些设备和应用未在部署时更改默认凭证,那么网络犯罪分子就可以通过扫描工具和暴力破解字典相结合、发动其他密码攻击,或者直接查阅包含默认凭证的设备或应用的用户手册来轻松访问它们。
在 DevOps 环境中,常见的 CI/CD 管道工具(如 Jenkins、Ansible、Github Actions 和 Azure DevOps)使用机密来访问数据库、SSH 服务器、HTTPs 服务和其他敏感系统。 机密抑或存储在所部署系统的配置文件中,抑或存储在十几个不同存储库之一里,这些方法提供的功能截然不同,因产品而异。 如果管理员没有将凭证存储在配置文件或系统中,则很可能将其存储在 DevOps 环境中。 无论是哪种情况,管理员都不一定会对这些机密的使用情况进行审计,或获得提醒。
虽然某些工具包含内置机密管理器,供组织删除硬编码/嵌入凭证,但这种机密管理器仅适用于对应的工具,并不能解决机密蔓延问题。
Keeper Secrets Manager:零信任,零知识安全,让您的网络机密安全无虞
Keeper 荣幸地宣布推出 Keeper Secrets Manager,这是业界首个也是唯一一个基于云的零信任、零知识基础设施机密保护解决方案。 Keeper Secrets Manager 完全托管,且搭载全新安全架构(已申请专利)。 此外,它还采用与 Keeper 的先进 Enterprise Password Management (EPM) 平台同样的零知识安全模型。
使用 Keeper Secrets Manager,所有服务器、CI/CD 管道、开发人员环境和源代码都可以从安全的 API 端点调取机密。 每个机密都使用 256 位 AES 密钥加密,然后再用另一个 AES-256 应用程序密钥进行加密。 客户端设备从 Keeper 云端检索加密的密文,然后在设备本地(而非在 Keeper 的服务器上)解密和使用机密。
Ready to see Keeper Secrets Manager for yourself?
此外,所有服务器请求都在 TLS 上使用 AES-256 传输机密进一步加密,以防止中间人 (MITM) 攻击或重放攻击。 如果您一直在计数的话,就会知道到这一步为止,已经产生了一大堆加密密钥! 通过我们的客户端 SDK(可轻松集成到任何环境中),这一多层加密系统的处理是透明的。
竞品机密管理解决方案要求客户购买特殊硬件、安装代理服务或使用特定的云服务提供商,但 Keeper Secrets Manager 可无缝集成至几乎任何数据环境中,无需额外硬件或配合特定的云托管基础设施, 并且可与各种 DevOps 工具(包括 GitHub Actions、Kubernetes、Ansible 等)进行即用型集成。
Keeper Secrets Manager (EPM) 是 Keeper Enterprise Password Manager (EPM) 的自然延申。 它已集成到 Keeper Web Vault、桌面应用和管理控制台中,同时也集成到了 Keeper 的高级报告和警报模块、BreachWatch、Webhooks、SIEM 集成和多个合规工具中。 例如,存储在组织 Keeper Vault 中的任何硬编码或嵌入凭证都要接受 BreachWatch 的扫描,如果其中的任何凭证被泄露,IT 管理员都会收到通知。
进一步了解 Keeper Secrets Manager,并安排演示!