Czym jest zarządzanie wpisami tajnymi?
- Słownik IAM
- Czym jest zarządzanie wpisami tajnymi?
Zarządzanie wpisami tajnymi to proces organizowania wpisów tajnych infrastruktury IT, zarządzania nimi i ich zabezpieczania. Umożliwia organizacjom bezpieczne przechowywanie, przesyłanie i audyt wpisów tajnych. Zarządzanie wpisami tajnymi chroni je przed nieautoryzowanym dostępem i zapewnia prawidłowe działanie systemów organizacji. Secrets Manager to bezpieczny system magazynu i pojedyncze źródło prawdy w odniesieniu do poświadczeń uprzywilejowanych, kluczy API i innych wysoce poufnych informacji wykorzystywanych w infrastrukturze IT.
Czytaj dalej, aby dowiedzieć się więcej o zarządzaniu wpisami tajnymi i o tym, co możesz zrobić, aby chronić środowisko danych swojej firmy.
Czym są dane poufne?
W środowisku danych IT wpisy tajne to poświadczenia uprzywilejowane nienależące do człowieka, najczęściej wykorzystywane przez systemy i aplikacje do uwierzytelniania lub jako dane wejściowe do algorytmu kryptograficznego. Wpisy tajne umożliwiają aplikacjom i systemom przesyłanie danych i wzajemne żądanie usług. Odblokowują aplikacje, usługi i zasoby IT zawierające wysoce poufne informacje oraz uprzywilejowane systemy.
Do popularnych rodzajów wpisów tajnych należą:
- Poświadczenia logowania użytkowników niebędących ludźmi
- Ciągi połączenia z bazami danych
- Klucze kryptograficzne
- Poświadczenia dostępu do usług chmurowych
- Klucze interfejsów programistycznych aplikacji (API)
- Tokeny dostępu
- Klucze SSH (Secure Shell)
Dlaczego zarządzanie wpisami tajnymi jest ważne?
Zarządzanie wpisami tajnymi to najlepsza praktyka z zakresu cyberbezpieczeństwa dotycząca konsekwentnego egzekwowania zasad bezpieczeństwa w odniesieniu do poświadczeń uwierzytelniania innych niż ludzkie, zapewniająca, że tylko uwierzytelnione i upoważnione podmioty mogą uzyskać dostęp do zasobów zawierających poufne dane oraz wysoce poufne aplikacje i systemy. Dzięki narzędziu do zarządzania wpisami tajnymi organizacje mają wgląd w to, gdzie znajdują się wpisy tajne, kto może uzyskać do nich dostęp i w jaki sposób są one wykorzystywane.
Wraz z rozwojem organizacji zespoły IT i DevOps napotykają problem zwany rozrastaniem się wpisów tajnych. Dzieje się tak, gdy organizacja ma zbyt wiele wpisów tajnych do zarządzania, a wpisy te są porozmieszczane w różnych miejscach w całej organizacji i przechowywane w niezabezpieczonych lokalizacjach przy użyciu niebezpiecznych metod. Bez scentralizowanych zasad lub narzędzia do zarządzania wpisami tajnymi każdy zespół w organizacji będzie samodzielnie zarządzać swoimi wpisami tajnymi, co może prowadzić do niewłaściwego nimi zarządzania. Tymczasem administratorom IT brakuje scentralizowanej widoczności, możliwości przeprowadzenia audytu i kontroli nad przechowywaniem i wykorzystaniem tych wpisów.
Najlepsze praktyki w zakresie zarządzania wpisami tajnymi
Ze względu na znaczną liczbę kluczy tajnych – w przypadku niektórych organizacji liczba samych kluczy SSH może sięgać tysięcy – wykorzystanie rozwiązania do zarządzania wpisami tajnymi, takiego jak Keeper Secrets Manager® jest koniecznością. Korzystanie z narzędzia do zarządzania wpisami tajnymi zapewni przechowywanie wpisów tajnych w jednej zaszyfrowanej lokalizacji, umożliwiając organizacjom ich łatwe śledzenie i uzyskiwanie do nich dostępu, zarządzanie nimi oraz audyt.
Jednak narzędzia technologiczne mają ograniczenia! Oprócz wdrożenia menedżera wpisów tajnych organizacje powinny również stosować najlepsze praktyki w zakresie zarządzania nimi.
Zarządzanie uprawnieniami i upoważnionymi użytkownikami
Następnym krokiem po scentralizowaniu i zabezpieczeniu wpisów tajnych za pomocą rozwiązania do zarządzania wpisami tajnymi jest zapewnienie, że dostęp do nich mają tylko upoważnione osoby i systemy. Jest to możliwe dzięki kontroli dostępu opartej na rolach (RBAC). RBAC definiuje role i uprawnienia na podstawie zakresu obowiązków użytkownika w organizacji, aby ograniczyć dostęp do systemu przez autoryzowanych użytkowników. RBAC powstrzymuje nieautoryzowanych użytkowników przed uzyskaniem dostępu do wpisów tajnych.
Organizacje muszą również zarządzać uprawnieniami do wpisów tajnych, ponieważ zapewniają one dostęp do wysoce poufnych danych. W przypadku niewłaściwego zarządzania organizacje mogą być narażone na niewłaściwe wykorzystanie uprawnień w postaci zagrożeń wewnętrznych i ruchu poziomego cyberprzestępców w ich sieci. Powinny one wdrożyć dostęp na zasadzie minimalnych niezbędnych uprawnień, czyli koncepcję cyberbezpieczeństwa, w ramach której użytkownicy i systemy uzyskują dostęp do poufnych zasobów jedynie w zakresie niezbędnym do wykonywania ich pracy. Najlepszym sposobem zarządzania uprawnieniami i wdrażania dostępu na zasadzie minimalnych niezbędnych uprawnień jest skorzystanie z narzędzia do zarządzania dostępem uprzywilejowanym (PAM).
Rotacja wpisów tajnych
Wiele organizacji będzie korzystać ze statycznych wpisów tajnych, które wraz z upływem czasu umożliwiają dostęp zbyt wielu użytkownikom. Aby zapobiec naruszeniu wpisów tajnych i niewłaściwemu ich wykorzystaniu, organizacje powinny regularnie zmieniać wpisy tajne zgodnie z ustalonym harmonogramem, aby ograniczyć ich żywotność. Rotacja wpisów tajnych ogranicza czas dostępu użytkownika do wpisów tajnych, zapewniając mu jedynie dostęp wystarczający do wykonywania zadań służbowych. Zapobiega przypadkowemu wyciekowi wpisów tajnych wskutek zaniedbania lub działań złośliwych użytkowników. Organizacje powinny również chronić wpisy tajne za pomocą silnych i niepowtarzalnych haseł oraz uwierzytelniania wieloskładnikowego.
Różnica między wpisami tajnymi a identyfikatorami
Organizacje muszą zebrać wszystkie wpisy tajne swojej organizacji, aby zapewnić sobie ochronę przed nieautoryzowanym dostępem. Jednak muszą one odróżnić wpisy tajne od identyfikatorów podczas gromadzenia tych danych.
Identyfikator to sposób, w jaki system zarządzania dostępem do tożsamości (IAM) lub inny podmiot odnosi się do tożsamości cyfrowej. Nazwy użytkowników i adresy e-mail to typowe przykłady identyfikatorów. Identyfikatory są często udostępniane swobodnie wewnątrz organizacji, a nawet poza nią. Są one wykorzystywane do przyznawania ogólnego dostępu do zasobów i systemów organizacji.
Natomiast wpisy tajne są wysoce poufne. W przypadku naruszenia wpisu tajnego atakujący mogą go wykorzystać do uzyskania dostępu do wysoce uprzywilejowanych systemów, a organizacja może ponieść poważne, a nawet katastrofalne szkody. Wpisy tajne muszą być ściśle monitorowane i kontrolowane, aby zapobiec nieautoryzowanemu dostępowi do poufnych danych i systemów.