Desde que las empresas migraron sus negocios a Internet, la tecnologÃa ha evolucionado rápidamente para ayudarlas a gestionar sus procesos de seguridad. Sin embargo, irónicamente, la tecnologÃa está creando brechas en la ciberseguridad.
En un informe de 2020, la empresa de investigación Forrester destacó que las identidades de las máquinas estaban creciendo dos veces más rápido que los humanos. Esta situación plantea un problema para la mayorÃa de los protocolos de gestión de secretos, ya que están diseñados para manejar identidades humanas. A medida que la contenedorización, la cultura DevOps y el uso de la nube han aumentado exponencialmente, la mayorÃa de los protocolos de seguridad examinan las identidades equivocadas.
Recientemente, GitHub experimentó una violación de datos debido a que los piratas informáticos comprometieron los tokens de seguridad. Estos tokens estaban vinculados al acceso a la identidad de la máquina, no a los humanos. Las empresas se están dando cuenta gradualmente de la amenaza que las identidades de máquinas inseguras representan para sus organizaciones.
Oded Hareven, cofundador y director ejecutivo de Akeyless, empresa de gestión de secretos basada en SaaS, cree que la solución es una plataforma que unifica la gestión de secretos en diferentes departamentos de una empresa. “Akeyless, en pocas palabras, es una plataforma de orquestación de secretos”. él dice. “Ya sean claves API, contraseñas, certificados, claves de cifrado, etc., eso unifica todos esos casos de uso, tanto de máquina a máquina como de persona a máquina”.
Gestión de la expansión de los secretos
Una organización tiene varios secretos. Las contraseñas, las claves de seguridad y los ajustes de configuración son algunos ejemplos de secretos que existen casi en todas partes del ADN de una organización. Estos secretos están presentes en el código fuente, canalizaciones de CI/CD, scripts automatizados, etc.
Como el código dirige en gran medida las organizaciones, los secretos de una empresa se están expandiendo exponencialmente. Cada departamento tiene su conjunto de secretos y métodos para guardarlos. Las condiciones comerciales únicas también dictan cómo un departamento guarda sus secretos. Por ejemplo, un departamento de adquisiciones se relaciona con proveedores externos con más frecuencia que el departamento de finanzas. Como resultado, el primero estará más dispuesto a abrir sus sistemas a integraciones externas, lo que dará lugar a diferentes protocolos de gestión de secretos.
Por lo tanto, proteger esta expansión del acceso automatizado a las máquinas es un desafÃo. Akeyless cree que la integración y la centralización son el camino a seguir. En lugar de crear una solución dispersa para abordar secretos dispares, la plataforma se integra con varias soluciones de seguridad y brinda a los equipos de seguridad visibilidad de los estados en un panel central.
Akeyless se integra con IDP como Okta para simplificar la autenticación. La plataforma también pretende eliminar el problema de Secret Zero al proporcionar una identidad de máquina para asegurar las conexiones iniciales al producto. Las empresas también pueden conectar Akeyless a sus canales de CI/CD para obtener visibilidad de los protocolos de acceso automatizados.
Gestionar la exposición de secretos en el código es un desafÃo y Akeyless ofrece SDK para evitar que ocurra esta situación. Además, la plataforma también ofrece administración de contraseñas, importación de secretos de Kubernetes, Azure, HashiCorp y otras bóvedas, y se integra con complementos de seguridad existentes.
Hareven describe el producto de su empresa como una puerta de enlace API. “Podemos ofrecer una solución para nubes privadas locales heredadas, entornos hÃbridos y, por supuesto, nubes múltiples, que es una de nuestras grandes ventajas”.
Cifrado y seguridad completos
El cifrado de claves es esencial para una gestión exitosa de los secretos. Las empresas a menudo se preocupan (con razón) por el grado de acceso que tiene su proveedor de servicios de seguridad a datos confidenciales. La bóveda de secretos promedio promete un cifrado de alto grado que evita que la bóveda acceda a datos confidenciales.
Akeyless va más allá al destacar su tecnologÃa Akeyless DFCTM con certificación FIPS 140-2. La empresa ha patentado esta tecnologÃa. Brevemente, funciona almacenando fragmentos de claves en diferentes entornos locales y de nube. El resultado es que las claves están fragmentadas y, por lo tanto, Akeyless no tiene acceso para descifrar las claves.
Esta tecnologÃa ZK es fundamental para el valor que ofrece Akeyless. “No existe ningún proveedor de nube que pueda obtener su clave de cifrado de alguna manera, y esos fragmentos nunca se combinan porque el cifrado se realiza en el lado del cliente”, explica Hareven. “Con eso y al tener un fragmento de clave del cliente en sus propias instalaciones, estamos llegando a un modelo en el que brindamos conocimiento cero”.
Los usuarios pueden administrar secretos estáticos cargando cadenas de conexión, números de tarjetas de crédito y tokens API. Incluso pueden crear secretos con plazos determinados y gestionarlos en consecuencia.
Por ejemplo, Akeyless admite la creación de usuarios temporales para ayudar al acceso JIT a objetivos como Azure AD, AWS, Chef Infra, etc. Los usuarios pueden rotar y automatizar los cambios de contraseña para identidades confidenciales, como cuentas de administrador.
Pistas de auditorÃa granulares
El enfoque tÃpico para manejar la expansión de los secretos empresariales es utilizar soluciones locales. Irónicamente, este enfoque crea otro problema: la proliferación de soluciones. La gestión de todas estas soluciones y las identidades de las máquinas que monitorean puede volverse caótica.
Una solución es adoptar una postura descentralizada de ciberseguridad y gestión de secretos. En este modelo, una organización designa equipos de seguridad dentro de cada departamento y funcionan de forma independiente. La colaboración se vuelve complicada, pero se puede gestionar con cierta planificación.
Este enfoque es lo opuesto a lo que ofrece Akeyless. Al actuar como una puerta de enlace API, la plataforma centraliza la gestión de secretos en manos de un equipo central. Algunas empresas encontrarán que este enfoque va en contra de sus objetivos de descentralización.
Sin embargo, el enfoque centralizado elimina el riesgo de duplicar la infraestructura de seguridad. La centralización también ofrece información sobre identidades granulares de máquinas, procesos de privilegios mÃnimos, análisis, integración con SIEM, etc.
Por lo tanto, rastrear las brechas en las posturas de seguridad es más sencillo que en el modelo descentralizado.
Una puerta de entrada a una gestión sólida de secretos
Akeyless se está posicionando rápidamente como la opción principal para la gestión de secretos empresariales. Hareven cree que el único camino es hacia arriba. “Tenemos planes para acelerar el negocio, los productos, el crecimiento y la comprensión de cómo profundizar”, afirma. A medida que la industria evoluciona, Akeyless está bien posicionada para ofrecer soluciones únicas a sus clientes.
â“’ 2023 . .
Etiquetas:
