¿Qué es la gestión de secretos?
- Glosario IAM
- ¿Qué es la gestión de secretos?
La gestión de secretos es el proceso de organizar, gestionar y proteger los secretos de la infraestructura de TI. Permite a las organizaciones almacenar, transmitir y auditar secretos de forma segura. La gestión de secretos protege los secretos contra el acceso no autorizado y garantiza que los sistemas de una organización funcionen correctamente. Un gestor de secretos es un sistema de almacenamiento seguro y una fuente única de veracidad para las credenciales privilegiadas, las claves de API y otra información altamente sensible utilizada en las infraestructuras de TI.
Siga leyendo para conocer más sobre la gestión de secretos y qué puede hacer para proteger el entorno de datos de su empresa.
¿Qué es un secreto?
En un entorno de datos de TI, los secretos son credenciales privilegiadas no humanas, que los sistemas y aplicaciones utilizan con mayor frecuencia para la autenticación o como entradas a un algoritmo criptográfico. Los secretos permiten a las aplicaciones y sistemas transmitir datos y solicitar servicios entre sí. Desbloquean aplicaciones, servicios y recursos de TI que contienen información altamente sensible y sistemas privilegiados.
Los tipos de secretos más comunes incluyen:
- Credenciales de inicio de sesión no humanas
- Cadenas de conexión a bases de datos
- Claves criptográficas
- Credenciales de acceso a servicios en la nube
- Claves de interfaz de programación de aplicaciones (API)
- Tokens de acceso
- Claves SSH (Secure Shell)
¿Por qué es importante la gestión de secretos?
La gestión de secretos es una práctica recomendada de seguridad cibernética para aplicar de forma consistente las políticas de seguridad para las credenciales de autenticación no humanas, lo que garantiza que solo las entidades autenticadas y autorizadas puedan acceder a los recursos que contienen datos confidenciales y a las aplicaciones y sistemas altamente sensibles. Con una herramienta de gestión de secretos, las organizaciones tienen visibilidad sobre dónde están los secretos, quién puede acceder a ellos y cómo se utilizan.
A medida que las organizaciones crecen, los equipos de TI y DevOps se enfrentan a un problema llamado proliferación de secretos. Esto ocurre cuando una organización tiene demasiados secretos que gestionar, y esos secretos se esparcen en toda la organización y se almacenan en ubicaciones inseguras con métodos inseguros. Sin una política o herramienta de gestión de secretos centralizada, cada equipo dentro de una organización gestionará sus secretos de forma independiente, lo que puede dar lugar a secretos mal gestionados. Mientras tanto, los administradores de TI carecen de visibilidad, auditabilidad y control centralizados sobre el almacenamiento y el uso de estos secretos.
Mejores prácticas de gestión de secretos
Como hay tantos secretos, en algunas organizaciones tan solo las claves SSH pueden ascender a miles, por lo que el uso de una solución de gestión de secretos como Keeper Secrets Manager® es imprescindible. El uso de una herramienta de gestión de secretos garantizará que los secretos se almacenen en una ubicación cifrada, lo que permite a las organizaciones rastrear, acceder, gestionar y auditar sus secretos fácilmente.
¡Sin embargo, una herramienta técnica no es suficiente! Además de implementar un gestor de secretos, las organizaciones también deben seguir las mejores prácticas de gestión de secretos.
Gestionar privilegios y usuarios autorizados
Después de centralizar y proteger sus secretos con una solución de gestión de secretos, el siguiente paso es asegurarse de que solo las personas y sistemas autorizados puedan acceder a ellos. Esto se logra a través del Control de acceso basado en roles (RBAC). RBAC define roles y permisos basados en la función de trabajo de un usuario dentro de la organización para restringir el acceso al sistema a los usuarios autorizados. RBAC ayuda a evitar que usuarios no autorizados accedan a secretos.
Las organizaciones también necesitan gestionar los privilegios de estos secretos debido a su acceso a datos altamente sensibles. Si los privilegios se gestionan mal, las organizaciones son susceptibles al mal uso de privilegios en forma de amenazas internas y movimientos laterales por parte de los cibercriminales dentro de su red. Deben implementar el acceso de privilegio mínimo, un concepto de seguridad cibernética que otorga a los usuarios y a los sistemas el acceso suficiente a los recursos sensibles para hacer su trabajo y nada más. La mejor manera de gestionar los privilegios e implementar el acceso a privilegios mínimos es con una herramienta de Gestión de acceso privilegiado (PAM).
Rotar secretos
Muchas organizaciones utilizan secretos estáticos que permiten a demasiados usuarios acceder a ellos con el tiempo. Para evitar que los secretos se vean comprometidos y mal utilizados, las organizaciones deben rotar los secretos regularmente en un horario predeterminado para limitar su vida útil. La rotación de secretos limita la cantidad de tiempo que un usuario tiene acceso a los secretos, lo que les da el acceso suficiente para hacer su trabajo. Evita que los secretos se filtren accidentalmente debido a usuarios negligentes o maliciosos. Las organizaciones también deben proteger los secretos con contraseñas fuertes y únicas y la autenticación multifactor.
Diferencie entre secretos e identificadores
Las organizaciones necesitan recopilar todos los secretos dentro de su organización para asegurarse de que están a salvo del acceso no autorizado. Sin embargo, las organizaciones necesitan diferenciar entre secretos e identificadores al recopilar secretos.
Un identificador es cómo un sistema de Gestión de identidad y acceso (IAM) u otra entidad se refiere a una identifad digital. Los nombres de usuario y las direcciones de correo electrónico son ejemplos comunes de identificadores. Los identificadores a menudo se comparten libremente dentro e incluso fuera de una organización. Se utilizan para otorgar acceso general a los recursos y sistemas de la organización.
Los secretos, por el contrario, son altamente confidenciales. Si un secreto se ve comprometido, los actores de amenazas pueden usarlo para acceder a sistemas altamente privilegiados, y la organización podría sufrir daños importantes o incluso catastróficos. Los secretos deben ser estrictamente monitoreados y controlados para evitar el acceso no autorizado a datos y sistemas sensibles.