Comercial e Empresarial
Proteja sua empresa contra criminosos cibernéticos.
Iniciar Teste GrátisO que é Gerenciamento de segredos?
- Glossário do IAM
- O que é Gerenciamento de segredos?
O gerenciamento de segredos é o processo de organizar, gerenciar e proteger segredos de infraestrutura de TI. Um gerenciador de segredos é um sistema de armazenamento seguro e única fonte de confiança para credenciais privilegiadas, chaves de API e outras informações altamente confidenciais usadas em infraestruturas de TI.
Continue lendo para saber mais sobre o gerenciamento de segredos e o que você pode fazer para proteger o ambiente e dados de sua empresa.
O que é um segredo?
Em um ambiente de dados de TI, segredos são credenciais privilegiadas não humanas, com mais frequência aquelas usadas por sistemas e aplicativos para autenticação ou como entrada para um algoritmo de criptografia. Os segredos desbloqueiam aplicativos, serviços e recursos de TI contendo informações altamente confidenciais e sistemas privilegiados.
Os tipos comuns de segredos incluem:
- Credenciais de login não humanas
- Sequências de caracteres de conexão de banco de dados
- Chaves criptográficas
- Credenciais de acesso a serviços em nuvem
- Chaves de interface de programação de aplicativo (API)
- Tokens de acesso
- Chaves SSH (Secure Shell)
Por que o gerenciamento de segredos é importante?
O gerenciamento de segredos é uma prática recomendada de segurança cibernética para executar consistentemente políticas de segurança para credenciais de autenticação não humanas - garantindo que apenas entidades autenticadas e autorizadas possam acessar os recursos.
À medida que as organizações crescem, as equipes de TI e DevOps encontram um problema chamado pulverização de segredos, em que segredos de infraestrutura são espalhados em vários locais, com diferentes departamentos, equipes e até mesmo membros de equipe gerenciando independentemente os segredos sob seu controle. Enquanto isso, os administradores de TI não têm visibilidade, auditabilidade e alertas sobre o uso desses segredos.
Práticas recomendadas de gerenciamento de segredos
Como os segredos são tão numerosos – chaves SSH sozinhas podem chegar aos milhares –, usar uma solução de gerenciamento de segredos, como o Keeper Secrets Manager, é essencial. De acordo com o Estudo sobre Tendências Globais de Criptografia de 2021 do Ponemon Institute, 28% das organizações usam soluções de gerenciamento de segredos para proteger segredos e 33% planejam implantar o uso de uma solução de gerenciamento de segredos no próximo ano.
No entanto, há limites para o que uma ferramenta técnica consegue fazer! Agregue as práticas recomendadas a seguir ao seu uso de uma ferramenta de gerenciamento de segredos:
Estabeleça controle de acesso apropriado
Depois de centralizar e proteger seus segredos com uma solução de gerenciamento de segredos, o próximo passo é garantir que apenas pessoas e sistemas autorizados possam acessá-los. Isso é feito com o controle de acesso baseado em função (RBAC) combinado com gerenciamento de acesso privilegiado (PAM) e acesso de menor privilégio.
Faça rotação de segredos e use acesso no momento certo
Muitos segredos, como chaves e certificados, exigem rotação periódico, normalmente a cada 30 a 90 dias. Uma ferramenta como o Keeper Secrets Manager pode automatizar esse processo para você.
Além do rotação de segredos, use o acesso no momento certo sempre que possível. Isso concede a usuários humanos e aplicativos acesso a sistemas privilegiados com base em necessidade de saber por uma duração específica. Isso é uma segurança para evitar que credenciais privilegiadas sejam comprometidas.
Diferencie entre segredos e identificadores
Um identificador é como um sistema de gerenciamento de identidades ou outra entidade se refere a uma identidade digital. Nomes de usuário e endereços de e-mail são exemplos comuns de identificadores. Os identificadores são com frequência compartilhados livremente dentro e até mesmo fora de uma organização.
Os segredos, por outro lado, são altamente confidenciais. Se um segredo for comprometido, atores de ameaças poderão usá-lo para acessar sistemas altamente privilegiados e a organização poderia sofrer danos importantes ou até mesmo catastróficos.
