O que é Gerenciamemento de segredos?

O gerenciamento de segredos é o processo de organizar, gerenciar e proteger segredos da infraestrutura de TI. Ele permite que as organizações armazenem, transmitam e auditem segredos com segurança. O gerenciamento de segredos protege os segredos contra acesso não autorizado e garante que os sistemas de uma organização funcionem corretamente. Um gerenciador de segredos é um sistema de armazenamento seguro e uma única fonte de verdade para credenciais privilegiadas, chaves de API e outras informações altamente confidenciais usadas em infraestruturas de TI.

Continue lendo para saber mais sobre o gerenciamento de segredos e o que você pode fazer para proteger o ambiente e dados de sua empresa.

O que é um Segredo?

Em um ambiente de dados de TI, os segredos são credenciais privilegiadas não humanas, mais frequentemente usadas por sistemas e aplicativos para autenticação ou como entradas para um algoritmo criptográfico. Os segredos permitem que aplicativos e sistemas transmitam dados e solicitem serviços uns com os outros. Eles desbloqueiam aplicativos, serviços e recursos de TI que contêm informações altamente confidenciais e sistemas privilegiados.

Os tipos comuns de segredos incluem:

Credenciais de login não humanas
Sequências de caracteres de conexão de banco de dados
Chaves criptográficas
Credenciais de acesso a serviços em nuvem
Chaves de interface de programação de aplicativo (API)
Tokens de acesso
Chaves SSH (Secure Shell)

Por que o gerencIAMento de segredos é importante?

O gerenciamento de segredos é uma prática recomendada de segurança cibernética para impor consistentemente políticas de segurança para credenciais de autenticação não humana, garantindo que apenas entidades autenticadas e autorizadas possam acessar recursos contendo dados confidenciais e aplicativos e sistemas altamente confidenciais. Com uma ferramenta de gerenciamento de segredos, as organizações têm visibilidade sobre onde estão os segredos, quem pode acessá-los e como eles são usados.

À medida que as organizações crescem, as equipes de TI e DevOps encontram um problema chamado dispersão de segredos. Isso ocorre quando uma organização tem muitos segredos para gerenciar, e esses segredos se espalham por toda a organização e são armazenados em locais inseguros e com métodos inseguros. Sem uma política ou ferramenta de gerenciamento de segredos centralizada, cada equipe dentro de uma organização gerenciará seus segredos de forma independente, o que pode resultar em segredos mal gerenciados. Enquanto isso, os administradores de TI não têm visibilidade, capacidade de auditoria e controle centralizados sobre o armazenamento e o uso desses segredos.

Práticas recomendadas de gerenciamento de segredos

Como os segredos são tão numerosos — as chaves SSH sozinhas podem chegar aos milhares para algumas organizações — usar uma solução de gerenciamento de segredos como o Keeper Secrets Manager^® é uma necessidade. Usar uma ferramenta de gerenciamento de segredos garantirá que os segredos sejam armazenados em um local criptografado, permitindo que as organizações rastreem, acessem, gerenciem e auditem seus segredos com facilidade.

No entanto, uma ferramenta técnica não pode fazer muito! Além de implementar um gerenciador de segredos, as organizações também devem seguir as práticas recomendadas de gerenciamento de segredos.

Gerenciar privilégios e usuários autorizados

Depois de centralizar e proteger seus segredos com uma solução de gerenciamento de segredos, o próximo passo é garantir que apenas pessoas e sistemas autorizados possam acessá-los. Isso é realizado por meio do Controle de acesso com base em função (RBAC). O RBAC define funções e permissões com base na função de trabalho de um usuário dentro da organização para restringir o acesso do sistema a usuários autorizados. O RBAC ajuda a evitar que usuários não autorizados acessem os segredos.

As organizações também precisam gerenciar os privilégios desses segredos devido ao acesso a dados altamente confidenciais. Se os privilégios são gerenciados incorretamente, as organizações são suscetíveis ao uso indevido de privilégios na forma de ameaças internas e movimento lateral por criminosos cibernéticos dentro de sua rede. Eles devem implementar o acesso de menor privilégio, um conceito de segurança cibernética que concede aos usuários e sistemas acesso suficiente a recursos confidenciais para fazer seu trabalho e nada mais. A melhor maneira de gerenciar privilégios e implementar o acesso de menor privilégio é com uma ferramenta de gerenciamento de acesso privilegiado (PAM).

Rotação de segredos

Muitas organizações usarão segredos estáticos que permitem que muitos usuários acessem eles ao longo do tempo. Para evitar que os segredos sejam comprometidos e mal utilizados, as organizações devem fazer rotação de segredos regularmente em um cronograma predeterminado para limitar sua vida útil. A rotação de segredos limita a quantidade de tempo que um usuário tem acesso aos segredos, dando a eles acesso suficiente para fazer seu trabalho. Ele evita que segredos vazem acidentalmente devido a usuários negligentes. As organizações também devem proteger segredos com senhas fortes e únicas e autenticação de vários fatores.

Diferencie entre segredos e identificadores

As organizações precisam reunir todos os segredos dentro de sua organização para garantir que estejam seguros contra acesso não autorizado. No entanto, as organizações precisam diferenciar entre segredos e identificadores ao coletar segredos.

Um identificador é como um sistema de Gerenciamento de acesso e identidade (IAM) ou outra entidade se refere a uma identidade digital. Nomes de usuário e endereços de e-mail são exemplos comuns de identificadores. Os identificadores são frequentemente compartilhados livremente dentro e até mesmo fora de uma organização. Eles são usados para conceder acesso geral aos recursos e sistemas da organização.

Os segredos, por outro lado, são altamente confidenciais. Se um segredo é comprometido, os atores de ameaças podem usá-lo para acessar sistemas altamente privilegiados e a organização pode sofrer danos maiores ou até mesmo catastróficos. Os segredos devem ser estritamente monitorados e controlados para evitar o acesso não autorizado a dados e sistemas confidenciais.