Asegure lo que le importa a su negocio.

Hay mucho en qué pensar al trabajar con contenedores, Kubernetes, la nube y secretos. Hay que emplear y relacionar las mejores prácticas en torno a la gestión de identidades y accesos y elegir y ejecutar diversas herramientas.

Si eres un desarrollador o un administrador de sistemas profesional, debe dejar en claro que tiene la elección correcta de herramientas para mantener sus entornos seguros. Las aplicaciones necesitan acceso a los datos de configuración en su lugar para funcionar correctamente. Y aunque la mayoría de los datos de configuración no son confidenciales, algunos deben permanecer confidenciales. Estas cadenas se conocen como secretos.

No me digas que todavía tienes secretos en GitHub.

Bueno, si está creando una aplicación confiable, es probable que sus funciones requieran que acceda a secretos o cualquier otro tipo de información confidencial que esté guardando.

Estos secretados pueden incluir:

  • Claves API
  • Credenciales de base de datos
  • Claves de cifrado
  • Ajustes de configuración sensibles (dirección de correo electrónico, nombres de usuario, banderas de depuración, etc.)
  • contraseñas

Sin embargo, cuidar estos secretos de forma segura puede resultar más tarde una tarea difícil. Así que aquí hay algunos consejos para desarrolladores y administradores de sistemas:

Parchear dependencias de funciones

Recuerde siempre rastrear las bibliotecas utilizadas en las funciones y marcar las vulnerabilidades por monitorearlos continuamente.

Emplear puertas de enlace API como búfer de seguridad

No exponga las funciones precisamente a la interacción del usuario. Aproveche las capacidades de puerta de enlace API de sus proveedores de nube para incluir otra capa de seguridad además de su función.

Asegure y verifique los datos en tránsito

Asegúrese de aprovechar HTTPS para un canal de comunicación seguro y verifique los certificados SSL para proteger la identidad remota.

Siga las reglas de codificación segura para el código de la aplicación.

Sin servidores que piratear, los atacantes volverán sus mentes a la capa de aplicación, así que tenga especial cuidado para proteger su código.

Gestione secretos en un almacenamiento seguro

La información confidencial se puede filtrar fácilmente y las credenciales desactualizadas pueden provocar ataques de tabla de arco iris si no adopta las soluciones adecuadas de administración de secretos. Recuerde no almacenar secretos en el sistema de aplicación, variables de entorno o sistema de administración de código fuente.

La gestión de claves en el mundo cooperativo es muy dolorosa debido, entre otras razones, a la falta de conocimientos y recursos. En cambio, algunas empresas incrustan las claves de cifrado y otros secretos de software directamente en el código fuente de la aplicación que los utiliza, lo que presenta el riesgo de exponer los secretos.

Debido a la falta de demasiadas soluciones listas para usar, muchas empresas han buscado crear sus propias herramientas de gestión de secretos. A continuación, presentamos algunos que puede aprovechar para satisfacer sus necesidades.

Vault

Bóveda de HashiCorp es una herramienta para almacenar y acceder a secretos de forma segura.

Proporciona una interfaz unificada para el secreto mientras mantiene un estricto control de acceso y registra un registro de auditoría completo. Es una herramienta que protege las aplicaciones y las bases de los usuarios para limitar el espacio de superficie y el tiempo de ataque en una brecha.

Proporciona una API que permite el acceso a los secretos en función de las políticas. Cualquier usuario de la API debe verificar y solo ver los secretos que está autorizado a ver.

Vault cifra los datos mediante AES de 256 bits con GCM.

Puede acumular datos en varios backends como Amazon DynamoDB, Consul y mucho más. Vault admite el registro en un archivo local para servicios de auditoría, un servidor Syslog o directamente en un socket. Vault registra información sobre el cliente que actuó, la dirección IP del cliente, la acción y a qué hora se realizó

Iniciar/reiniciar siempre involucra a uno o más operadores para abrir la Bóveda. Funciona principalmente con fichas. Cada token se asigna a una política que puede restringir las acciones y las rutas. Las características clave de la Bóveda son:

  • Cifra y descifra datos sin almacenarlos.
  • Vault puede generar secretos a pedido para algunas operaciones, como AWS o bases de datos SQL.
  • Permite la replicación en varios centros de datos.
  • Vault tiene protección incorporada para revocación secreta.
  • Sirve como un repositorio secreto con detalles de control de acceso.

AWS Secrets Manager

Esperaba AWS en esta lista. ¿No es así?

AWS tiene una solución para cada problema.

Director de secretos de AWS le permite rotar, administrar y recuperar rápidamente las credenciales de la base de datos, las claves de API y otras contraseñas. Con Secrets Manager, puede proteger, analizar y administrar los secretos necesarios para acceder a las capacidades de AWS Cloud, en servicios de terceros y en las instalaciones.

Secrets Manager le permite administrar el acceso a secretos utilizando permisos detallados. Las características clave de AWS Secrets Manager son:

  • Cifra secretos en reposo mediante claves de cifrado.
  • Además, descifra el secreto y luego lo transmite de forma segura a través de TLS.
  • Proporciona ejemplos de código que ayudan a llamar a las API de Secrets Manager.
  • Tiene bibliotecas de almacenamiento en caché del lado del cliente para mejorar la disponibilidad y reducir la latencia del uso de sus secretos.
  • Configurar Amazon Puntos finales de VPC (nube privada virtual) para mantener el tráfico dentro de la red de AWS.

Akeyless Vault

Bóveda sin llave es una plataforma unificada basada en SaaS de gestión de secretos de extremo a extremo, que protege todo tipo de credenciales, tanto estáticas como dinámicas, incluidas la automatización de certificados y las claves de cifrado. Además, proporciona una solución única para asegurar el acceso remoto (confianza cero) a todos los recursos en entornos heredados, multinube e híbridos.

Akeyless protege los secretos y las claves utilizando una tecnología patentada y certificada FIPS 140-2 incorporada; tiene cero conocimiento de los secretos y claves de sus clientes.

Gestión de secretos de bóveda sin llave

Las características clave incluyen:

  • Plataforma basada en SaaS, disponible a nivel mundial que ofrece alta disponibilidad (HA) y recuperación ante desastres (DR) integradas al aprovechar la arquitectura nativa de la nube sobre un servicio multirregional y multinube.
  • La gestión avanzada de secretos proporciona una bóveda segura para secretos estáticos y dinámicos, como contraseñas, credenciales, claves API, tokens, etc.
  • Akeyless Vault permite el aprovisionamiento e inyección de todo tipo de secretos en todos sus servidores, aplicaciones y cargas de trabajo, proporcionando una amplia variedad de complementos que le permiten conectarse a todos sus DevOps y plataformas de TI como CI / CD, gestión de la configuración y herramientas de orquestación como Kubernetes y Docker.

El tiempo de producción más rápido porque:

  • SaaS: no es necesario implementar, instalar ni mantener
  • Acceso onboarding con migración automática de secretos desde repositorios de secretos existentes conocidos

La plataforma soporta dos pilares más:

  • Acceso a aplicaciones de confianza cero (AKA Remote Access) al proporcionar autenticación unificada y credenciales de acceso justo a tiempo, lo que le permite proteger las aplicaciones e infraestructura sin perímetro.
  • El cifrado como servicio permite a los clientes proteger los datos confidenciales personales y comerciales mediante la aplicación de cifrado avanzado a nivel de aplicación con certificación FIPS 140-2.

Keywhiz

Keywhiz cuadrado ayuda con los secretos de infraestructura, los conjuntos de claves GPG y las credenciales de la base de datos, incluidos los certificados y claves TLS, las claves simétricas, los tokens de API y las claves SSH para servicios externos. Keywhiz es una herramienta para manejar y compartir secretos.

La automatización en Keywhiz nos permite distribuir y configurar sin problemas los secretos esenciales para nuestros servicios, lo que requiere un entorno consistente y seguro. Las características clave de Keywhiz son:

  • Keywhiz Server proporciona API JSON para recopilar y administrar secretos.
  • Almacena todos los secretos solo en la memoria y nunca se repite en el disco.
  • La interfaz de usuario está hecha con AngularJS para que los usuarios puedan validar y usar la interfaz de usuario.

Confidant

Confidente es una herramienta de administración de secretos de código abierto que mantiene un almacenamiento fácil de usar y el acceso a los secretos de forma segura. Confidant almacena secretos de forma adjunta en DynamoDB y genera una clave de datos KMS única para cada modificación de todo el secreto, utilizando criptografía autenticada simétrica de Fernet.

Proporciona una interfaz web AngularJS que proporciona a los usuarios finales la gestión eficiente de secretos, las formas de los secretos de los servicios y el registro de cambios. Algunas de las características incluyen:

  • Autenticación KMS
  • Cifrado en reposo de secretos versionados
  • Una interfaz web fácil de usar para administrar secretos
  • Genere tokens que se pueden aplicar para la autenticación de servicio a servicio o para pasar mensajes cifrados entre servicios.

Strongbox

Caja fuerte es una herramienta útil que maneja, almacena y recupera secretos como tokens de acceso, certificados privados y claves de cifrado. Strongbox es una capa de conveniencia del lado del cliente. Mantiene los recursos de AWS por usted y también los configura de forma segura.

Puede verificar rápidamente todo su conjunto de contraseñas y secretos de manera instantánea y efectiva con una búsqueda profunda. Tiene la opción de almacenar las credenciales localmente o en la nube. Si elige una nube, puede optar por almacenarla en iCloud, Dropbox, OneDrive, Google Drive, WebDAV, etc.

Strongbox es compatible con otros contraseñas seguras.

Azure Key Vault

¿Alojando sus aplicaciones en Azure? Si es así, entonces esta sería una buena opción.

Azure Key Vault permite a los usuarios gestionar todos los secretos (claves, certificados, cadenas de conexión, contraseñas, etc.) de su aplicación en la nube en un lugar determinado. Está integrado de fábrica con los orígenes y destinos de los secretos en Azure. Las aplicaciones fuera de Azure pueden seguir utilizándolo.

También puede mejorar el rendimiento reduciendo la latencia de sus aplicaciones en la nube almacenando claves criptográficas en la nube en lugar de en las instalaciones.

Azure puede ayudar a lograr la protección de datos y los requisitos de cumplimiento.

Docker secrets

Secretos de Docker le permite agregar fácilmente el secreto al clúster, y solo se comparte a través de conexiones TLS autenticadas mutuamente. Luego, los datos llegan al nodo del administrador en los secretos de Docker y se guardan automáticamente en el almacén interno de Raft, lo que garantiza que los datos se cifren.

Los secretos de Docker se pueden aplicar fácilmente para administrar los datos y, por lo tanto, transferirlos a los contenedores con acceso a ellos. Evita que los secretos se filtren cuando la aplicación los usa.

Knox

Knox, fue desarrollado por la plataforma de redes sociales Pinterest para resolver su problema con la administración manual de claves y el mantenimiento de un registro de auditoría. Knox está escrito en Go, y los clientes se comunican con el servidor Knox mediante una API REST.

Knox utiliza una base de datos temporal volátil para almacenar claves. Cifra los datos almacenados en la base de datos utilizando AES-GCM con una clave de cifrado maestra. Knox también está disponible como imagen de Docker.

Doppler

Desde nuevas empresas hasta empresas, miles de organizaciones utilizan Doppler para mantener sincronizados su secreto y la configuración de la aplicación en todos los entornos, miembros del equipo y dispositivos.

No es necesario compartir secretos por correo electrónico, archivos zip, git y Slack; permita que sus equipos colaboren para que lo tengan al instante después de agregar el secreto. Doppler le brinda una sensación de relajación al automatizar el proceso y ahorrar tiempo.

Puede crear referencias a los secretos de uso frecuente para que una sola actualización en algunos intervalos haga todo su trabajo. Usa los secretos en Sin servidor, Docker, o en cualquier lugar, Doppler trabaja contigo. Cuando su pila evoluciona, permanece como está, lo que le permite comenzar a funcionar en cuestión de minutos.

La CLI de Doppler lo sabe todo sobre cómo obtener sus secretos según el directorio de su proyecto. No se preocupe si algo cambia, puede revertir fácilmente las modificaciones rotas con un solo clic o mediante CLI y API.

Con Doppler, trabaje de manera más inteligente en lugar de más duro y obtenga su software de administración secreto GRATIS. Si busca más funciones y beneficios, elija un paquete de inicio a $ 6 / mes / asiento.

En resumen

Espero que lo anterior le dé una idea sobre algunos de los mejores programas para administrar las credenciales de aplicaciones.

A continuación, explora inventario y monitoreo de activos digitales automatizadas.