Что такое управление секретами?

Управление секретами — это процесс организации, управления и защиты секретов ИТ-инфраструктуры. Менеджер секретов — это защищенная система хранения и единственный источник достоверных данных для привилегированных учетных данных, ключей API и другой конфиденциальной информации, используемой в ИТ-инфраструктурах.

Читайте дальше, чтобы больше узнать об управлении секретами и о том, что вы можете сделать для защиты информационной среды своей компании.

Что такое секрет?

В среде ИТ-данных секреты представляют собой привилегированные учетные данные, не принадлежащие человеку, чаще всего те, которые используются системами и приложениями для аутентификации или в качестве входных данных для криптографического алгоритма. Секреты открывают доступ к приложениям, службам и ИТ-ресурсам, содержащим конфиденциальную информацию и привилегированные системы.

Общие типы секретов включают в себя:

  • Учетные данные для входа, не принадлежащие человеку
  • Строки подключения к базам данных
  • Криптографические ключи
  • Учетные данные для доступа к облачной службе
  • Клавиши интерфейса прикладного программирования (API)
  • Маркеры доступа
  • Ключи SSH (Secure Shell)

Почему важно управление секретами?

Управление секретами — это передовая практика кибербезопасности для последовательного применения политик для учетных данных, не принадлежащих человеку, с обеспечением того, что только аутентифицированные и авторизованные субъекты могут получить доступ к ресурсам.

По мере роста организаций ИТ-отделы и команды DevOps сталкиваются с проблемой, называемой расползанием секретов, когда секреты инфраструктуры разбросаны по нескольким местам, а разные отделы, группы и даже члены одной группы независимо управляют секретами, находящимися под их контролем. При этом ИТ-администраторам не хватает обзора, возможности аудита и предупреждений об использовании этих секретов.

Лучшие практики управления секретами

Поскольку секретов очень много — одних только SSH-ключей может насчитываться тысячи — использование решения для управления секретами, такого как Keeper Secrets Manager, является обязательным. Согласно глобальному исследованию тенденций шифрования 2021, проведенному компанией Ponemon Institute в 2021 году, 28% организаций используют решения для управления секретами для защиты секретов, и 33% планируют внедрить решение для управления секретами в течение следующего года.

Однако один лишь технический инструмент может сделать не так уж много! Сочетайте использование инструмента управления секретами со следующими рекомендациями:

Установите надлежащий контроль доступа

После централизации и защиты ваших секретов с помощью решения для управления секретами следующим шагом является обеспечение того, чтобы доступ к ним могли получать только авторизованные пользователи и системы. Это достигается с помощью управления доступом на основе ролей (RBAC) в сочетании с управлением привилегированным доступом (PAM) и доступом с наименьшими привилегиями.

Осуществляйте ротацию секретов и используйте доступ «точно в срок»

Для многих секретов, таких как ключи и сертификаты, требуется периодическая ротация, обычно каждые 30–90 дней. Такой инструмент, как Keeper Secrets Manager, может автоматизировать этот процесс.

В дополнение к ротации секретов по возможности используйте доступ «точно в срок». Это дает пользователям-людям и приложениям доступ к привилегированным системам по мере необходимости в течение определенного периода времени. Это надежный способ предотвращения компрометации привилегированных учетных данных.

Различайте секреты и идентификаторы

Идентификатор определяет то, как система управления идентификацией или другой объект ссылается на цифровую идентификацию. Имена пользователей и адреса электронной почты являются распространенными примерами идентификаторов. Идентификаторы часто свободно распространяются внутри организации и даже за ее пределами.

Секреты, наоборот, строго конфиденциальны. Если секрет скомпрометирован, злоумышленники могут использовать его для доступа к системам с высоким уровнем привилегий, и организация может понести серьезный или даже катастрофический ущерб.

close
Бизнес-продажи
Поддержка
closeВыберите язык
close

Компании и крупные предприятия

Защитите свою компанию от киберпреступников.

Попробовать бесплатно

Государственный сектор и FedRAMP

Защитите свое учреждение или учебное заведение от киберпреступников.

Контактная информация

Поставщики управляемых услуг (MSP)

Защитите свою организацию MSP, своих клиентов и добавьте новые источники дохода.

Попробовать бесплатно

Личное и семейное

Защитите себя и свою семью от киберпреступников.

Защититься сейчас
close

Личное и семейное

Защитите себя и свою семью от киберпреступников.

Попробовать бесплатно

Компании и крупные предприятия

Защитите свою компанию от киберпреступников.

Попробовать бесплатно
Pусский (RU) Связь с нами
Загрузить из App Store Загрузить из Google Play