¿Qué es la gestión de secretos?

• Glosario IAM
• ¿Qué es la gestión de secretos?

La gestión de secretos hace referencia al proceso de organizar, gestionar y proteger los secretos de la infraestructura de TI. Un gestor de secretos es un sistema de almacenamiento seguro y única fuente de verdad para las credenciales privilegiadas, las calves API y otra información altamente sensible usada en las infraestructuras de TI.

Siga leyendo para aprender más sobre la gestión de secretos y qué puede hacer para proteger el entorno de datos de su empresa.

¿Qué es un secreto?

En un entorno de datos de TI, los secretos son credenciales privilegiadas no humanas utilizadas, en la mayoría de los casos, por sistemas y aplicaciones para autenticar o como entrada a un algoritmo criptográfico. Los secretos desbloquean aplicaciones, servicios y recursos de TI que contienen información altamente sensible y sistemas privilegiados.

Los tipos de secretos más comunes incluyen:

• Credenciales de inicio de sesión no humanas
• Cadenas de conexión a bases de datos
• Claves criptográficas
• Credenciales de acceso a servicios en la nube
• Claves de interfaz de programación de aplicaciones (API)
• Tokens de acceso
• Claves SSH (Secure Shell)

¿Por qué es importante la gestión de secretos?

La gestión de secretos es una buena práctica de ciberseguridad usada para aplicar de forma coherente las políticas de seguridad para credenciales de autenticación no humanas. Asegura que solo las entidades autenticadas y autorizadas pueden acceder a los recursos.

A medida que las organizaciones crecen, los equipos de TI y DevOps encuentran un problema conocido como dispersión o divulgación de secretos. Los secretos de infraestructura quedan dispersos en múltiples ubicaciones, donde diferentes departamentos, equipos e incluso miembros de equipos gestionan de forma independiente los secretos bajo su control.

Buenas prácticas con la gestión de secretos

Como los secretos son muy numerosos (las claves SSH por sí solas pueden llegar a ser miles), usar una solución de gestión de secretos como Keeper Secrets Manager es imprescindible. Según el estudio de 2021 "Global Encryption Trends Study" del Ponemon Institute, el 28 % de las organizaciones utilizan soluciones de gestión de secretos para protegerlos y el 33 % tienen previsto implantar el uso de una solución de gestión de secretos en el próximo año.

Sin embargo, ¡una herramienta técnica no puede hacer mucho! Combine el uso de una herramienta de gestión de secretos con las siguientes buenas prácticas:

Establezca un control de accesos adecuado

Tras centralizar y proteger sus secretos con una solución de gestión de secretos, el siguiente paso es asegurar que solo los sistemas y personas autorizados pueden acceder a ellos. Esto se consigue mediante el control de accesos basados en roles (RBAC) combinado con la gestión de accesos con privilegios (PAM) y el acceso de mínimo privilegio.

Rote los secretos y use el acceso justo a tiempo

Muchos secretos (como las claves y los certificados) requieren una rotación periódica, normalmente de 30 a 90 días. Una herramienta como Keeper Secrets Manager puede automatizar este proceso por usted.

Además de rotar los secretos, use el acceso justo a tiempo cuando sea posible. Esto permite a los usuarios humanos y a las aplicaciones acceder a sistemas con privilegios en función de la necesidad que tengan de conocerlos durante un tiempo determinado. Se trata de un mecanismo de seguridad para evitar que las credenciales privilegiadas se vean comprometidas.

Diferencie entre secretos e identificadores

Un identificador hace referencia a cómo un sistema de gestión de identidades u otras entidades se refieren a una identidad digital. Los nombres de usuario y las direcciones de correo electrónico son ejemplos comunes de identificadores. Estos se suelen compartir con total libertad dentro y fuera de una organización.

En cambio, los secretos son muy confidenciales. Si un secreto se ve comprometido, los atacantes podrían usarlo para acceder a sistemas altamente privilegiados y la organización podría sufrir daños importantes o incluso catastróficos.