Como gerenciar secrets adequadamente em projetos de desenvolvimento
Gerenciamento manual Secrets como senhas e chaves ssh estão espalhadas por todo o processo de desenvolvimento de software. No entanto, poucas pessoas podem ter acesso a esses dados. O acesso controlado ainda é um grande desafio para as equipes de desenvolvimento, devido às dificuldades no gerenciamento dessas informações e adoção de padrões não recomendados.
Os padrões que podem comprometer a segurança de um sistema incluem senhas fracas, tema já abordado aqui no blog do senhasegura.
Porém, neste artigo traremos mais detalhes sobre o gerenciamento de secrets em processos de desenvolvimento. Para facilitar sua compreensão, dividimos nosso texto nos seguintes tópicos:
- O que são secrets?
- Desafios para gerenciar secrets em projetos de desenvolvimento
- Gestão de senhas: padrões não recomendados
- Cinco práticas fundamentais para o gerenciamento de secrets
- Conclusão
Acompanhe nosso texto até o fim!
-
O que são secrets?
São consideradas secrets todas as credenciais de autenticação utilizadas em aplicações e serviços em uma estrutura de TI. Isso inclui senhas, chaves ssh, chaves de API, tokens OAuth e arquivos de configuração.
A gestão de secrets pode ser vista como um gerenciamento aperfeiçoado de senhas, o que inclui a criação, rotação, revogação e armazenamento de credenciais.
Afinal, o escopo nesse caso é mais amplo, mas a finalidade continua sendo a proteção contra acessos não autorizados a dados e sistemas, perdas e violações de dados.
O gerenciamento de secrets contribui para a segurança cibernética em três instâncias. São elas:
- Segurança de infraestrutura – evita que usuário, dispositivos, aplicativos, e outros elementos de rede sejam invadidos;
- Segurança do serviço de nuvem – permite limitar e gerenciar o acesso aos serviços baseados em nuvem;
- Segurança de dados – possibilita proteger sistemas críticos, entre outros recursos contra perdas e violações de dados.
Outra vantagem do gerenciamento de secrets é contribuir para colocar as organizações em conformidade com os requisitos de padrões exigentes de segurança cibernética, como FIPS, NIST e HIPAA.
-
Desafios para gerenciar secrets em projetos de desenvolvimento
A gestão dos secrets envolve algumas dificuldades. A seguir, vamos apontar as mais comuns. Confira:
Falta de visibilidade
Com a migração da infraestrutura de TI para cloud, a quantidade de recursos, sistemas, aplicativos e contas mudam frequentemente. Como consequência, os locais onde os secrets estão armazenados também mudam.
Por isso, para que a organização se mantenha em segurança, é fundamental saber claramente onde são guardadas essas informações. E mais: a falta de visibilidade também pode criar obstáculos para gerenciar esses recursos, ou ao passar por uma auditoria.
Falta de políticas de gerenciamento
Para atender aos critérios dos regulamentos de segurança e facilitar o controle das fases do ciclo de vida de um secret, as empresas devem definir regras nas políticas de segurança, o que nem sempre ocorre.
Gerenciamento manual
Grande parte das organizações ainda não usam recursos automatizados de gestão de secrets para gerenciar suas credenciais digitais. Desse modo, atrasam o processo de gerenciamento e tornam o armazenamento de secrets mais vulnerável.
-
Gestão de senhas: padrões não recomendados
Muitas organizações ainda apresentam padrões não recomendados em sua rotina de gestão de senhas. Veja alguns:
Senhas fracas
Devido à dificuldade em memorizar senhas complexas, muitas pessoas adotam códigos simples e fáceis de lembrar. Contudo, essa é uma das principais vulnerabilidades quando o assunto é gestão de senhas. Afinal, senhas fáceis de lembrar são igualmente fáceis de decifrar.
Além disso, agentes mal-intencionados podem obter senhas incorporadas e codificadas, com a ajuda de ferramentas de verificação, realizando um ataque de força bruta ou simplesmente adivinhando.
Compartilhamento de senhas
Muitas empresas utilizam contas e senhas compartilhadas para gerenciar seus sistemas, tornando impossível identificar quem realizou cada ação dentro de um ambiente on-line em casos de incidente.
Além disso, seus colaboradores podem compartilhar senhas com colegas de trabalho ou outras pessoas, facilitando a ação de invasores interessados em dados confidenciais da organização.
Armazenar secrets em texto simples
É comum que os funcionários do setor de uma companhia utilizem arquivos de texto que contém todas as senhas para situações críticas ou encaminhem mensagens para os colegas com os secrets necessários para ter acesso a um recurso.
Porém, essas práticas representam riscos para a segurança cibernética das organizações: os invasores precisam apenas obter um arquivo, mensagem ou e-mail para ter ferramentas para invadir um sistema.
Reutilização de secrets
Também é muito comum reutilizar secrets para diferentes serviços, a fim de facilitar sua memorização e poupar tempo. Porém, se um usuário malicioso descobrir um código, os demais também estarão comprometidos.
Secrets não revogados
O NIST tem como critério a revogação das credenciais do usuário quando necessário. Isso deve ocorrer diante do desligamento de um funcionário ou da finalização de um contrato com um fornecedor terceirizado, por exemplo. Porém, esse procedimento de segurança não é seguido por todas as organizações.
Secrets sem rotação
Vários padrões de segurança determinam que as senhas sejam alteradas em um determinado prazo, o mesmo ocorre com chaves de aplicativos e outros tipos de secrets. Mais uma vez: não são todas as organizações que seguem essa recomendação.
Você está curtindo esse post? Inscreva-se para nossa Newsletter!
Newsletter Blog PT
Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.
-
Cinco práticas fundamentais para o gerenciamento de secrets
Existem vários modos de oferecer um método seguro para a proteção de secrets. A seguir, abordamos cinco passos importantes para alcançar esse objetivo:
Gestão centralizada de secrets
Primeiramente, você deve centralizar seus secrets em um só lugar para garantir mais segurança e facilitar seu gerenciamento. Isso torna mais fácil construir governança, segurança e auditoria para saber quem acessa essas informações e quando elas são acessadas.
ACLs (Access Control Lists)
Depois de ter seus secrets centralizados em um só lugar, garanta que as pessoas certas tenham acesso a eles. Para isso, você pode criar ACLs de humanos, máquinas e aplicativos que te deem o controle desse acesso.
Credenciais temporárias
A terceira e a quarta ação devem ocorrer simultaneamente: consistem em ter secrets dinâmicos. Na prática, para garantir secrets dinâmicos, os indivíduos e entidades devem receber credenciais temporárias para acesso aos sistemas.
Criptografia
Conforme mencionamos, é importante que os dados em trânsito ou repouso possam ser criptografados, com chaves de criptografia centralizadas no gerenciamento de secrets.
Auditoria
Agora, você deve estar se questionando como fazer para auditar seu gerenciamento de secrets e saber o que foi acessado por qual usuário.
Cada secret dinâmico pode ser utilizado por um único usuário, que é devidamente autenticado na hora de recuperar essa informação e a criptografia como serviço permite saber quem acessou uma operação de criptografia e descriptografia. Tudo isso pode te dar um panorama completo de tudo o que ocorre em sua infraestrutura de TI.
-
Conclusão
Lendo este artigo você aprendeu o que são secrets, como eles devem ser gerenciados e quais os maiores desafios na gestão dessas informações. Também pode compreender quais são os padrões não recomendados no gerenciamento de senhas, como:
- Senhas fracas;
- Compartilhamento de senhas;
- Armazenando secrets em texto simples;
- Reutilização de secrets;
- Secrets não revogados; e
- Secrets sem rotação.
Além disso, nós apresentamos cinco práticas fundamentais para o bom gerenciamento de secrets.
Gostou do nosso texto? Compartilhe com alguém que tenha interesse nessas informações.
LEIA TAMBÉM NO BLOG DA SENHASEGURA
Saiba tudo sobre autenticação sem senha
Como o PAM auxilia a proteção de organizações médicas?
Múltiplo Fator de Autenticação: como se beneficiar dessa estratégia de segurança