Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Computación en nube  |  Última actualización: 24 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Administrador de secretos de AWS: Todo lo que necesita saber [2023]

Por y editado por
AWS Secrets Manager

AWS Secrets Manager le permite almacenar de forma segura todas sus credenciales, datos, contraseñas y otros secretos.

Los ciberataques están aumentando rápidamente en todo el mundo, con el objetivo de robar información confidencial y dinero, y dejando a las organizaciones devastadas.

Por eso es necesario utilizar servicios sólidos como Secrets Manager que puedan proteger sus datos.

En este artículo, hablaré de AWS Secrets Manager y de lo beneficioso que puede ser para usted.

Comencemos

¿Qué es AWS Secrets Manager?

AWS Secre ts Manager es una herramienta que ayuda a los usuarios a administrar, rotar y recuperar sus secretos, como contraseñas, claves API, credenciales de bases de datos y aplicaciones, etc., a lo largo del ciclo de vida de cada uno.

Un secreto puede ser una información confidencial y valiosa sobre su organización que desea almacenar de forma segura. Puede ser una credencial como una contraseña y un nombre de usuario, un token OAuth, una credencial AWS, claves SSK, claves de cifrado, certificados y claves privadas, y mucho más.

YouTube vídeo

El objetivo principal de AWS Secrets Manager es administrar y salvaguardar sus datos utilizados para acceder a recursos, servicios, aplicaciones y sistemas de TI. Almacena y administra secretos y datos en un lugar centralizado, facilitando a los usuarios legítimos el acceso a los mismos sin necesidad de códigos complejos.

AWS Secrets Manager le permite rotar los secretos entre varios servicios de AWS como Redshift, RDS y DocumentDB. Esto permite que todas las claves y credenciales de bases de datos se actualicen constantemente en todos esos servicios. Además, puede rotar los secretos bajo demanda o de forma programada utilizando la consola integrada de la herramienta, el SDK de AWS o la CLI de AWS.

Por otra parte, AWS Secrets Manager proporciona un mejor control de los datos y un cifrado sólido para su protección. También le permite monitorizar su información protegida y auditarla con la ayuda de varias integraciones disponibles.

Sus mayores usuarios son las grandes empresas en lo que respecta al tamaño del negocio y las compañías de software en lo que respecta al tipo de industria.

Administrador de secretos de AWS: Características

AWS-Secret-managers-1

#1. Almacenamiento y gestión de secretos

No sólo el almacenamiento, sino que también puede gestionar sus secretos fácilmente con Secrets Manager. Para gestionar los datos en la plataforma, puede realizar diversas acciones con sus datos:

  • Crear un secreto y una base de datos
  • Modificar un secreto
  • Encontrar un secreto
  • Borrar un secreto que ya no necesite
  • Restaurar un secreto que haya perdido o borrado
  • Replicando un secreto a otra región de AWS
  • Promoviendo un secreto replicado a un secreto independiente dado dentro de AWS Secrets Manager

Puede almacenar sus credenciales en la plataforma después de crear su cuenta en Amazon Aurora, Amazon RDS, Amazon DocumentDB o Amazon Redshift. Puede hacerlo utilizando la consola de Secrets Manager, AWS SDK o AWS CLI.

#2. Seguridad sólida

Strong-Security

AWS Secrets Manager utiliza un cifrado fuerte para salvaguardar todos sus secretos de usuarios no autorizados. Cifra sus secretos utilizando claves del Servicio de administración de claves (KMS) de AWS.

Secrets Manager utiliza AWS Identity and Access Management (IAM) para permitir a los usuarios acceder a sus secretos de forma segura. Ofrece controles de acceso y autenticación avanzados.

  • La autenticación se utiliza para verificar la identidad del usuario que realiza la solicitud. Y la identificación se realiza mediante un proceso de inicio de sesión que requiere tokens de autenticación multifactor (MFA), claves de acceso y contraseñas.
  • El control de acceso se utiliza para garantizar que los usuarios autorizados sólo puedan realizar determinadas operaciones con los secretos.

Aparte de esto, Secrets Manager hace uso de políticas que definen qué usuarios pueden acceder a qué recursos y realizar qué acciones en esos secretos o recursos. Le permite utilizar AWS IAM Roles Anywhere y obtener credenciales temporales de seguridad en IAM para servidores, aplicaciones, contenedores y otras cargas de trabajo que se ejecuten fuera de AWS.

Además, puede habilitar los mismos roles y políticas de IAM para sus cargas de trabajo que ha creado para las aplicaciones de AWS para acceder a sus recursos tanto en AWS como en los dispositivos on-premise (como los servidores de aplicaciones).

#3. Rotación de secretos

Secrets-Rotation

El Administrador de Secretos de AWS le permite rotar los secretos de forma programada o bajo demanda sin interrumpir o redistribuir sus aplicaciones activas.

Aquí, la rotación de secretos se refiere al proceso de actualización periódica de los secretos de una organización. Así, cuando rote un secreto determinado, tendrá que actualizar los datos o las credenciales del secreto, así como el servicio o la base de datos. Además, le permite automatizar la rotación de secretos y ahorrar tiempo configurando y automatizando la rotación de secretos a través de la consola y la CLI de AWS para ahorrar tiempo.

Para actualizar un secreto, AWS Secret Manager aprovecha la función AWS Lambda y la llama en función de la programación establecida. Para ello, tendrá que configurar un calendario específico para activar la rotación tras un periodo determinado, como 90 días o 30 días. También puede hacerse creando una expresión cron.

Además, el gestor de secretos puede etiquetar la versión del secreto durante la rotación utilizando etiquetas de puesta en escena. Puede llamar a una función muchas veces durante la rotación dándole diferentes parámetros.

He aquí cómo puede rotar un secreto:

  • Cree la nueva versión del secreto. Puede tener un nuevo nombre de usuario y contraseña junto con más datos del secreto.
  • Cambie las credenciales existentes en el servicio o base de datos. Al hacerlo, las nuevas credenciales coincidirán con las de la nueva versión del secreto. En función de la estrategia de rotación que esté aplicando, se creará un nuevo usuario con los mismos permisos de acceso que el usuario existente.
  • Pruebe la versión secreta recién creada permitiéndole acceder al servicio o a la base de datos. En función del tipo de acceso que requieran sus aplicaciones, puede incluir acceso de lectura y escritura.
  • Realice la rotación trasladando la nueva versión de la versión antigua a la nueva versión secreta. Conserve la versión antigua y añádala a la versión anterior para evitar perder el secreto por completo.

#4. Supervisión del secreto

Secret-monitoring-

Dado que las infracciones y las ineficiencias pueden producirse en cualquier momento, es importante que vigile sus secretos y tome las medidas necesarias cuando aún esté a tiempo. AWS Secrets Manager le permite monitorizar sus datos mediante herramientas de monitorización e informar inmediatamente en caso de que algo vaya mal.

Podrá utilizar los registros para investigar cualquier cambio o uso inesperado. Si los encuentra, también podrá deshacer los cambios no deseados y recuperar la versión anterior. Además, podrá configurar comprobaciones automáticas para detectar cualquier intento de borrado de secretos o uso inapropiado de los mismos.

Esto es lo que obtendrá con la monitorización de secretos:

  • Registro de eventos mediante AWS CloudTrail: AWS CloudTrail puede registrar las llamadas a la API como eventos de la consola para la rotación y eliminación de secretos. Le mostrará los eventos registrados de los últimos 90 días. También puede configurar CloudTrail para que entregue los archivos de registro directamente en el bucket de Amazon S3 desde varias regiones y cuentas de AWS.
  • Monitorice utilizando CloudWatch: Con CloudWatch, puede monitorizar fácilmente sus secretos dejando que recopile y procese datos sin procesar en métricas legibles en tiempo real. Los datos se guardarán durante 15 meses para medir el rendimiento de su servicio o aplicación.
  • Haga coincidir los eventos mediante EventBridge: Con EventsBridge, es posible cotejar los eventos de los archivos de registro de AWS CloudTrail. Para ello, configure los riles en busca de esos eventos y envíe un nuevo evento para tomar medidas a un objetivo.
  • Monitorice los secretos programados para su eliminación: Combinando Amazon CloudWatch Logs, Simple Notification Service (SNS) y CloudTrail, puede configurar alarmas para notificar en caso de cualquier intento no autorizado de eliminar un secreto.

Al recibir una alarma, tendrá tiempo de pensar si realmente desea que se borre o detener el borrado. Como alternativa, puede permitir que un usuario utilice un nuevo secreto y proporcionarle permisos de acceso.

#5. Integraciones

AWS Secrets Manager se integra con muchas otras herramientas de Amazon y AWS. La lista incluye Alexa for Business, AWS App2Container, App Runner, Amazon AppFlow, AWS AppConfig, Amazon Athena, Amazon DocumentDB, AWS DataSync, AWS CodeBuild, Amazon ElasticCache, Amazon EMR, AWS Elemental Live, Amazon QuickSight, Amazon Redshift, AWS Migration Hub, Amazon RDS, etc.

Por qué utilizar AWS Secrets Manager

Why-Use-AWS-Secrets-Manager

Postura de seguridad mejorada

Secrets Manager le permite mejorar la postura de seguridad de su organización, ya que no necesita ninguna credencial codificada en el código fuente de su aplicación. Al almacenar sus credenciales en el Gestor de Secretos, puede evitar compromisos relacionados con la seguridad por parte de alguien que pueda acceder a la aplicación o a sus componentes.

Recuperación en caso de desastre

Un desastre puede llamar a su puerta en cualquier momento, como una brecha cibernética. Esto le llevará a perder su información crucial, contraseñas y otras credenciales y datos. O puede perder sus datos debido a un borrado accidental.

Utilizando la herramienta, puede sustituir sus credenciales codificadas en papel por una llamada en tiempo de ejecución al administrador de secretos de AWS para recuperar dinámicamente sus credenciales cuando lo necesite.

Reducción de riesgos

Reduced-Risks

El Gestor de Secretos le permite configurar un calendario de rotación para que los secretos puedan rotar automáticamente cuando llegue el momento. De este modo, puede sustituir sus secretos a largo plazo por secretos a corto plazo, lo que contribuye a reducir los riesgos de que la seguridad se vea comprometida.

Además, la rotación de credenciales no requiere actualizaciones de la aplicación ni modificar los clientes de la misma, ya que no almacenará sus credenciales con la aplicación.

Cumplir los requisitos de conformidad

Teniendo en cuenta los crecientes riesgos para la seguridad y la privacidad, los organismos reguladores como GDPR e HIPAA exigen a las organizaciones que se adhieran a su estándar de cumplimiento para garantizar que están manejando los datos de los clientes y de la empresa de forma segura. Por lo tanto, utilice únicamente una aplicación o servicio que sea seguro y cumpla con las normativas aplicables.

AWS Secrets Manager, puede monitorizar sus secretos para detectar cualquier vulnerabilidad o riesgo de seguridad que pueda comprometer sus datos y tomar medidas de antemano. Esto salvaguarda esencialmente la información de su empresa y de sus clientes, lo que es sumamente crucial para mantener la conformidad. También puede prepararse mejor para las auditorías documentándolo todo.

Además, puede aprovechar AWS Configs para evaluar sus secretos y su conformidad con las políticas internas de su organización, las normativas y las directrices del sector. Le permite definir los requisitos de conformidad y los controles internos para los secretos e identificar los secretos que no son conformes.

Mejores controles

Better-control-

Obtendrá un mejor control de sus secretos, sistemas y otros datos con políticas y controles de acceso de grano fino. AWS IAM garantizará que la persona adecuada tenga el nivel correcto de permisos de acceso a los recursos adecuados. Los administradores pueden crear o eliminar cuentas, permitir o restringir el acceso a los usuarios, añadir o eliminar miembros y realizar muchas acciones en función de las necesidades y situaciones.

Administrador de secretos de AWS: Cómo configurarlo y utilizarlo

A continuación le explicamos cómo puede configurar y utilizar AWS Secrets Manager:

  • Configure su cuenta de AWS introduciendo los datos necesarios.
  • Inicie sesión en su cuenta de AWS
  • Vaya a la consola de AWS Secrets Manager
  • Localice la opción “Almacenar un nuevo secreto” y haga clic en ella para crear y almacenar su secreto.

Cómo crear y almacenar un nuevo secreto

Para crear un secreto en el Gestor de Secretos, necesita el permiso de las políticas gestionadas SecretsManagerReadWrite. Cuando se crea un secreto, el Gestor de Secretos generará una entrada en el registro de CloudTrail.

Siga los siguientes pasos para almacenar sus tokens de acceso, claves API y credenciales en AWS Secrets Manager:

1. Abra la consola de AWS Secrets Manager

How-to-store-a-secret
Fuente de la imagen: Stack Overflow

2. Haga clic en “Almacenar un nuevo secreto”.

Aparecerá la página “Elegir tipo de secreto”. A continuación, realice los siguientes pasos:

  • Seleccione “Otro tipo de secreto” para el tipo de secreto que desea crear.
  • Verá Pares clave/valor. Introduzca un secreto en pares clave/valor en JSON. O bien, seleccione la pestaña Texto sin formato e introduzca su secreto en el formato que prefiera. Es posible almacenar secretos de hasta 65536 bytes.
  • Seleccione la clave AWS KMS utilizada por Secret Manager para cifrar el valor secreto. En la mayoría de los casos, puede optar por aws/secretsmanager para utilizar la clave administrada. No tiene ningún coste.
  • Para acceder a un secreto desde una cuenta de AWS diferente o utilizar su clave KMS para habilitar la rotación o aplicar una política a esta clave, seleccione “Añadir nueva clave” o seleccione una clave gestionada por el cliente de la lista dada. Sin embargo, una clave gestionada por el cliente es de pago.
  • Seleccione “Siguiente”
YouTube vídeo

3. En la página “Secreto de configuración”,

  • Introduzca un nombre secreto y su descripción. El nombre debe tener de 1 a 512 caracteres Unicode.
  • Puede añadir etiquetas a un secreto desde la sección Etiquetas. También puede incluir una política de recursos seleccionando “Editar permisos”.
  • Además, también es posible replicar un secreto a una región de AWS diferente eligiendo “Replicar secreto”. Estos pasos son opcionales.
  • Elija “Siguiente”

4. Si lo desea, puede activar la rotación automática desde la página “Rotación de la configuración”. Este paso también es opcional. Elija “Siguiente”.

5. Revise los detalles del secreto desde la página “Revisar” y seleccione “Guardar”. Y ya ha terminado; el Gestor de Secretos volverá a la lista de secretos. Debe ver allí el secreto recién añadido; si no es así, actualícelo.

Aparte de la consola, también puede añadir un secreto a través de AWS SDK y AWS CLI.

AWS Secrets Manager vs. AWS Parameter Store

AWS Parameter Store es una herramienta de gestión de aplicaciones de AWS Systems Manager (SSM) que permite a los usuarios crear un parámetro clave-valor, que puede guardar las configuraciones, credenciales, claves de producto y variables de entorno personalizadas de una aplicación.

Por otro lado, AWS Secrets Manager es un servicio que permite crear, almacenar, administrar, recuperar y rotar credenciales, claves, tokens de API, etc.

Estos dos servicios tienen interfaces similares en las que es fácil declarar sus pares clave-valor para secretos y parámetros. Sin embargo, se basan en lo siguiente:

Secrets-manager-vs-parameter-store
Administrador de secretos de AWSAlmacén de parámetros de AWS
Tamaño de almacenamientoAlmacena hasta 10 kb de tamaño de secretoAlmacena hasta 4096 caracteres o 4 kb para una entrada y puede llegar hasta 8 kb para parámetros avanzados
LímitesPuede almacenar 500k secretos/región/cuentaPuede almacenar 10.000 parámetros estándar/región/cuenta
CosteEs de pago, cuesta 0,40 $/secreto/mesEs gratuito para los parámetros estándar y cuesta 0,05 $/10.000 llamadas a la API para los parámetros avanzados
RotaciónOfrece rotación automática para cualquier secreto en cualquier momento y puede configurarseTendrá que escribir una función usted mismo para actualizar las credenciales
Acceso entre cuentasNo
Replicación entre regionesNo
Tipo de credencialesEs para datos confidenciales que necesitan encriptación, por lo tanto, casos de uso limitados.Caso de uso más amplio ya que puede almacenar más tipos de credenciales incluyendo variables de configuración de la aplicación como claves de producto, URLs, etc.

Conclusión

Tanto si pertenece a una pequeña, mediana o gran empresa, puede utilizar AWS Secrets Manager para crear y almacenar sus secretos. Ofrece mayor seguridad, privacidad, controles de acceso, características y capacidades para salvaguardar sus secretos de accesos no autorizados.

También puede explorar cómo realizar el escaneo de seguridad de AWS y la monitorización de la configuración.

  • Amrita Pathak
    Autor
    Amrita es redactora independiente y redactora de contenidos. Ayuda a las marcas a mejorar su presencia en línea mediante la creación de contenido impresionante que conecta y convierte. Es licenciada en Ingeniería Aeronáutica.
  • Narendra Mohan Mittal
    Editor

    Narendra Mohan Mittal es un versátil y experimentado estratega de marca digital y editor de contenidos con más de 12 años de experiencia. Es medalla de oro en M-Tech y B-Tech en Informática e Ingeniería.


    Actualmente,... Seguir leyendo

Etiquetado como
Gracias a nuestros patrocinadores
Más lecturas sobre computación en nube
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder