Что такое «секрет»?

Секрет — это привилегированные, нечеловеческие учетные данные, такие как ключи API, пароли, токены или сертификаты, которые системы и приложения используют для аутентификации и авторизации. Секреты обеспечивают безопасную связь между приложениями, сервисами и ресурсами, проверяя идентичность и предоставляя соответствующий доступ к конфиденциальным данным. Правильное управление секретами обеспечивает безопасное взаимодействие между системами, защищая привилегированные данные от несанкционированного доступа.

Что такое управление секретами?

Управление секретами подразумевает безопасную обработку, хранение и управление привилегированными учетными данными в ИТ-инфраструктуре организации. Он позволяет организациям централизованно управлять, хранить и проверять секреты, минимизируя риск несанкционированного доступа. Цель управления секретами заключается в поддержании безопасной работы системы, снижении рисков безопасности и повышении операционной эффективности.

Типы секретов

Существует несколько типов секретов, которые организации используют для защиты привилегированной информации, включая пароли, криптографические ключи, токены, ключи API, SSH-ключи, сертификаты и учетные данные привилегированных пользователей.

Пароли

Будучи наиболее распространенным типом секрета, пароли широко используются для аутентификации пользователей и предоставления доступа к системам, данным или приложениям. Пароли состоят из комбинации прописных и строчных букв, цифр и символов, известных как пользователю, так и системе. Пароль подтверждает личность пользователя и защищает конфиденциальные данные от несанкционированного доступа. Чтобы пароль был надежным, он должен быть длинным и сложным; в противном случае он рискует стать более уязвимым для атак на основе паролей, таких как брутфорс.

Учетные данные привилегированного пользователя

Учетные данные привилегированного пользователя предоставляют повышенный доступ или административный контроль над системами, сетями или приложениями. Эти учетные данные принадлежат пользователям, которые могут выполнять важные задачи, такие как настройка системных параметров, доступ к конфиденциальной информации или управление привилегированными учетными записями. Поскольку они предоставляют доступ к критическим данным, учетные данные привилегированных пользователей должны тщательно контролироваться и защищаться, чтобы предотвратить несанкционированные действия.

Ключи Secure Shell (SSH)

Ключи Secure Shell (SSH) позволяют безопасно аутентифицироваться в сети без использования пароля. Обычно используемые системными администраторами для автоматизации и единого входа в систему (SSO), ключи SSH состоят из открытого ключа, который хранится на сервере, и закрытого ключа, который пользователь держит в секрете. Когда устанавливается соединение, сервер проверяет публичный ключ и предоставляет доступ, если он соответствует приватному ключу.

Ключи интерфейса прикладного программирования (API)

Ключи API являются уникальными идентификаторами, используемыми для аутентификации и авторизации приложений или пользователей при доступе к API. Они помогают обеспечить безопасные взаимодействия между программными системами, проверяя подлинность вызывающего приложения. Ключи API часто применяются для контроля доступа, автоматизации рабочих процессов и управления лимитами использования. Поскольку они могут предоставлять доступ к конфиденциальной информации, ключи API должны храниться в безопасности, чтобы предотвратить несанкционированное использование.

Криптографические ключи

Криптографические ключи используются в процессах шифрования и дешифрования для обеспечения конфиденциальности и целостности данных. Эти ключи необходимы для обеспечения безопасности данных при передаче и хранении. Существует два основных типа:

Симметричные ключи, где один и тот же ключ используется как для шифрования, так и для дешифрования
Асимметричные ключи, которые включают открытый ключ (для шифрования) и закрытый ключ (для расшифровки)

Криптографические ключи являются основополагающими для обеспечения безопасной связи, цифровых подписей и защиты данных в современных ИТ-системах.

Токены

Токены используются для аутентификации и авторизации, обычно в современных веб-приложениях и API. Они временные и создаются для предоставления доступа к конкретным ресурсам после успешного входа в систему или авторизации. Токены содержат закодированную информацию, которая подтверждает личность пользователя без необходимости передачи пароля с каждым запросом. Поскольку токены могут предоставлять доступ к конфиденциальным ресурсам, их необходимо хранить и передавать безопасно.

Сертификаты

Цифровые сертификаты используются для обеспечения безопасности интернет-соединений и сетевых коммуникаций. Эти сертификаты часто называют сертификатами SSL/TLS, при этом Transport Layer Security (TLS) является более современной и безопасной версией устаревшего протокола Secure Sockets Layer (SSL). Сертификаты TLS удостоверяют личность веб-сайта и создают зашифрованное соединение между сервером и клиентом. Сертификаты содержат открытый ключ и другую информацию, включая доменное имя и издателя, которые позволяют клиентам проверить достоверность сервера. Сертификаты важны для обеспечения конфиденциальности данных, предотвращения атак «человек посередине» (MITM) и укрепления доверия пользователей.

Проблемы управления секретами

Без надлежащего управления секретами каждая команда в организации может управлять секретами независимо. Это может привести к расползанию секретов и небезопасному обмену ими.

Секреты расползаются

Разрастание секретов — это хаотичное распределение секретов по всей организации. По мере роста организаций секреты могут рассредоточиваться по облачным средам и различным инструментам, что увеличивает риск несанкционированного доступа. Без централизованного управления секретами это может привести к уязвимостям в безопасности и проблемам с соблюдением нормативных требований.

Жестко зашитые секреты

Жестко закодированные секреты относятся к конфиденциальным данным, таким как пароли или ключи API, которые встроены непосредственно в исходный код или файлы конфигурации. Это может произойти, если разработчики хранят секреты в коде для упрощения разработки или тестирования. Однако хранение учетных данных непосредственно в исходном коде создает риски безопасности, затрудняя обновление секретов и ограничение потенциальной утечки.

Передача секретов вручную

Ручное распределение секретов — это практика отправки или распространения конфиденциальной информации через ручные процессы, включая электронную почту или системы обмена сообщениями. Полагаясь на электронную почту, приложения для обмена сообщениями или электронные таблицы для распространения секретов, увеличивается риск человеческой ошибки и несанкционированного доступа. Если пользователь передает секреты через незашифрованную электронную почту, эти конфиденциальные данные уязвимы для перехвата неавторизованным пользователем.

Привилегии облачных вычислений

Привилегии облачных вычислений определяют доступ пользователя к облачным ресурсам, таким как серверы и базы данных. Если организация предоставляет пользователю чрезмерные привилегии, это может увеличить риски безопасности, так как человеческая ошибка или кибератаки могут привести к утечке данных. Организации часто испытывают трудности с отслеживанием доступа к облачным приложениям, что может привести к накоплению привилегий и появлению неуправляемых учетных данных.

Учетные записи сторонних пользователей и удаленный доступ

Если не управлять ими должным образом, учетные записи третьих лиц и учетные записи с удаленным доступом могут стать причиной уязвимостей в системе безопасности, особенно если поставщики или подрядчики обладают чрезмерными привилегиями или устаревшими учетными данными. Несанкционированный доступ может привести к утечкам данных или компрометации системы через внешних поставщиков или удаленных сотрудников, подключающихся к критически важным системам с конфиденциальными данными.

Лучшие практики управления секретами

Чтобы решить общие проблемы управления секретами, организации могут защитить свои секреты, управляя привилегиями и авторизованными пользователями, автоматически ротируя секреты и регулярно обновляя политики управления секретами.

Управляйте привилегиями и авторизованными пользователями

Организации должны управлять привилегиями и авторизованными пользователями, следуя принципу наименьших привилегий (PoLP), который предоставляет пользователям и системам доступ только к тому, что им необходимо для выполнения их задач. <a href=/resources/glossary/what-is-role-based-access-control/"">Контроль доступа на основе ролей (RBAC) помогает применять принцип наименьших привилегий (PoLP), назначая разрешения на основе ролей, а не отдельных пользователей, что минимизирует риск чрезмерных привилегий. Многофакторная аутентификация (MFA) также должна быть включена для всех привилегированных аккаунтов, чтобы добавить уровень безопасности и предотвратить ненужный или несанкционированный доступ со временем.

Выполняйте ротацию секретов

Автоматизированная ротация секретов — это практика, которой должны следовать организации, чтобы уменьшить риск несанкционированного доступа к конфиденциальной информации. Частое обновление секретов ограничивает их раскрытие в случае компрометации. С помощью централизованной системы управления секретами организации могут автоматически отслеживать и обновлять учетные данные по заранее установленному графику, экономя время и снижая вероятность человеческой ошибки.

Различайте секреты и идентификаторы

Чтобы защитить секреты и повысить безопасность, организациям необходимо различать секреты — пароли, ключи шифрования и токены — и идентификаторы, такие как имена пользователей, адреса электронной почты и идентификаторы устройств. Секреты должны быть конфиденциальными и тщательно контролироваться, так как они предоставляют прямой доступ к чувствительной информации, в то время как идентификаторы следует тщательно управлять, чтобы предотвратить злоупотребление, но они могут оставаться публичными. Организациям необходимо надежно хранить секреты и обеспечивать строгий контроль доступа, чтобы предотвратить несанкционированное использование и минимизировать риск утечки.

Регулярно пересматривайте и обновляйте политики управления секретами

Организации должны регулярно пересматривать и обновлять свои политики управления секретами, чтобы подготовиться к более сложным и развивающимся киберугрозам. Обновление этих политик должно включать определение того, кто имеет доступ к конфиденциальным учетным данным, аннулирование устаревших или ненужных секретов и обеспечение соблюдения нормативных стандартов. С помощью централизованной системы управления секретами организации могут автоматизировать соблюдение политик для поддержания согласованности и минимизации ошибок, связанных с человеческим фактором.