+7 495 223 35 33 (Москва) | 8 800 550 52 23 (Бесплатно по РФ)

07.10.2021
Вы можете хранить секреты? А ваша система управления секретами может

ГлавнаяБлог — Вы можете хранить секреты? А ваша система управления секретами может

Вы можете хранить секреты? А ваша система управления секретами может

Системы управления секретами надежно хранят секреты, препятствуют бесконтрольному росту их количества и гарантируют мгновенное подключение систем для выполнения автоматизированных задач. Они позволяют контролировать, как секреты хранятся и передаются, когда они используются, как часто они ротируются и насколько просто их можно удалить. Если вы используете подобного рода решения, то значительно усложните жизнь злоумышленников и не позволите им использовать ваши секреты против вас.

Что такое секрет?

Секрет — это отдельные наборы конфиденциальной информации, которые включают в себя широкий спектр различных данных, которые надежно защищаются. Существует множество видов секретов, в том числе пользовательские пароли, пароли приложений и баз данных, автоматически генерируемые пароли шифрования, частные ключи шифрования, API-ключи, ключи приложений, SSH-ключи, токены авторизации и частные сертификаты (например, TLS и SSL). Каждый тип секрета подходит для определенной области использования.

Самый известный пример секрета — это пароль, который используется для входа в учетную запись приложения, веб-сайта или компьютера. Но эти типы секретов не являются самыми распространенными и самыми сложными для защиты.

Секреты, которые используются не людьми, применяются повсеместно, однако невидимы, имеют критически важное значение для информационной безопасности, но сильно недооценены.

Современные локальные или облачные приложения увеличили потребность во всех типах цифровых секретов. Количество секретов типа «приложение — приложение» растет в геометрической прогрессии. Они используются для шифрования данных при передаче между приложениями.

В условиях такого большого количества различных типов секретов, которые используются для разных задач, компании могут потерять контроль над их использованием и несогласованно применять их в рамках всего предприятия. Именно для решения этих задач и были созданы системы управления секретами.

Что такое управление секретами?

Управление секретами внедряет средства контроля безопасности на инфраструктурных уровнях, которые больше всего подвергаются рискам: на уровне облачных сред, программного кода, данных и устройств.

Облачные среды: как сообщается в отчете Verizon Data Breach Report за 2020 год, 77% всех случаев нарушения информационной безопасности облачных сред было связано со скомпрометированными идентификационными данными. Управление секретами включает в себя следующие сценарии: SaaS, LaaS, PaaS, частные и гибридные мультиоблачные среды.

Программный код: для быстрой разработки требуются быстрые методики PAM. Управление секретами предоставляет командам разработчиков доступ по требованию к приложениям и базам данных для контроля изменений без нарушения информационной безопасности и компрометации идентификационных данных. Такой подход устраняет необходимость во встраивании секретов в программный код или внешние репозитории, такие как Github.

Данные: управление секретами защищает доступ и использование конфиденциальной информации, персональных данных и цифровой интеллектуальной собственности, которые хранятся или передаются в рамках баз данных и приложений.

Устройства: согласно информации SANS, 85% кибератак реализуется посредством скомпрометированных конечных устройств. Управление секретами защищает секреты, которые используются для доступа к устройствам, таким как рабочие станции, мобильные ПК и серверы.

Жизненный цикл секретов

После того как секрет создан, вопросам его управления может не оказываться должного внимания. Они могут никогда не ротироваться, их может быть трудно удалить. Большинство секретов сохраняют не лучшую форму к концу жизненного цикла.

Управление секретами — это процесс защищенного и централизованного управления секретами на протяжении всего жизненного цикла.

Жизненный цикл работоспособного секрета должен включать в себя следующие этапы:

  • Создание: секрет создается либо в ручном режиме пользователем, либо в автоматическом режиме. Пароли должны часто, но не всегда соответствовать политике, регулирующей их создание и использование. Автоматическое создание идентификационных данных удаляет одно из слабых мест управления секретами: идентификационные данные, созданные человеком, как правило, легче взломать, чем данные, созданные компьютером.
  • Ротация: после начала использования секрет должен на регулярной основе изменяться. Это часто предусматривается и требуется различными стандартами обеспечения информационной безопасности, включая PCI DSS, согласно которому максимальная продолжительность цикла ротации должна составлять 90 дней. Это может быть выполнено автоматически путем повторного создания секрета по расписанию или в ручном режиме в соответствии с напоминаниями для пользователей. Если секрет устарел или его срок действия закончился, доступ к нему будет запрещен, пока он не будет обновлен.
  • Удаление: способность удалить идентификационные данные у пользователя или приложения, запретив таким образом доступ к ресурсу, имеет настолько важное значение, что она прописана во многих стандартах по разработке политик безопасности, включая NIST 800-53. Потребность в удалении секрета может возникнуть, когда сотрудник увольняется или системы контроля обнаружили нештатное поведение. Удаление ненужных, недействительных, взломанных или ненадежных секретов — это важный шаг на пути к поддержанию секретов в хорошем состоянии.

Чтобы управлять секретами на протяжении всего их жизненного цикла, любая выбранная вами PAM-система должна иметь возможность хранить и предоставлять секреты, когда это необходимо, а также обеспечивать прозрачность и полный контроль на основе политик.

Почему управление секретами так важно?

Управление секретами позволяет безопасно хранить, передавать и проверять секреты. Оно исключает или по крайней мере сводит к минимуму участие людей в управлении секретами, чтобы уменьшить количество потенциальных точек отказа. Этот систематический подход к предотвращению несанкционированного доступа к конфиденциальным данным и системам помогает избежать утечки данных, кражи данных и идентификационной информации или манипуляций с ними.

Строгая политика в отношении управления секретами позволяет решить следующие общие проблемы:

  • передачу секретов другим пользователям;
  • повторное использование секретов либо из соображений целесообразности, либо из-за того, что пароли жестко запрограммированы или встроены в приложения и системы;
  • незащищенное хранение секретов, например, без использования технологий шифрования или просто в виде текста;
  • отсутствие ротации секретов, что может стать побочным эффектом для возникновения жестко запрограммированных или встроенных секретов;
  • неудаление секретов.

Управление секретами предотвращает их бесконтрольный рост

По мере увеличения объема, разнообразия и сложности ИТ-систем компаниям становится все труднее внедрять и управлять согласованной политикой для всех аппаратных ресурсов, а также знать, где находятся секреты и как они используются. Бесконтрольный рост количества секретов — это сложная проблема, так как организации теряют контроль над своими идентификационными данными и вынуждены идти на компромисс, используя разрозненные системы управления, каждая из которых имеет свою собственную политику управления. Существует много способов управления секретами, и если каждое приложение, поставщик облачных услуг или подразделение организации реализуют свою собственную модель безопасности, организация в целом теряет контроль над своими цифровыми активами.

Политики управления секретами должны устанавливаться и управляться централизованно, чтобы обеспечить их согласованное применение с определением правил обработки секретов на каждом этапе их жизненного цикла.

Передовые методики управления секретами

Ниже перечислены ключевые принципы организации работы хорошо продуманной системы управления секретами:

  • Поиск секретов: потратьте время на то, чтобы найти все секреты, используемые в вашей организации. Затем обеспечьте их надежную защиту.

  • Создание единой, комплексной политики управления секретами: политика должна устанавливать строгие правила в отношении структуры секретов (минимальная длина, сложность, использование специальных символов, запрещенные пароли, повторное использование, продолжительность использования), ограничивая использование секретов по умолчанию или жестко запрограммированных секретов.

  • Автоматизация процессов управления секретами: удалите человеческий фактор. Избегайте использования жестко запрограммированных или встроенных секретов. Используйте системы, а не людей для создания, управления, распространения и поддержания секретов.

  • Обеспечение исполнения политик в отношении управления секретами: вы потратили время, чтобы создать политику, — найдите время, чтобы проследить за ее исполнением. Требуйте, чтобы приложения и пользователи соответствовали правилами в отношении надежности, ротации, повторного использования и удаления секретов. Не принимайте ничего на веру. Всегда проверяйте. Не используйте принцип «установил и забыл». Настройте систему мониторинга и регулярно просматривайте журналы проверки.

  • Разделение данных и секретов: используйте распределенный характер современных сетей в своих интересах. Вместо того чтобы концентрировать управление секретами и конфиденциальные данные в одном месте, храните их отдельно.

Как системы управления секретами Thycotic могут помочь вам

Современные PAM-системы должны обеспечивать безопасность каждого секрета и привилегированного объекта в рамках всей компании независимо от того, где он находится (в локальных системах, мультиоблачных средах или на устройствах), за счет внедрения средств контроля безопасности на уровнях, которые больше всего подвергаются рискам: на уровне облачных сред, программного кода, данных и устройств.

  • Secret Server управляет секретами на протяжении всего жизненного цикла, включая создание, хранение, ротацию, удаление и аудит.

  • Cloud Access Controller защищает SaaS-приложения с помощью детальной авторизации и аудиторских проверок.

  • DevOps Secrets Vault создано для оперативного управления секретами для DevOps, RPA и других сценариев автоматизации. Специалисты DevOps сохраняют высокую продуктивность работы за счет автоматизации задач по созданию секретов и обеспечения постоянной защиты.

Вы можете использовать подобные решения для управления секретами, чтобы хранить свои секреты в безопасности, чтобы никто не мог использовать их против вас.

Попробуйте сами!
Полная версия Thycotic Secret Server
на 30 дней

На время тестирования предоставляется техническая поддержка по телефону и электронной почте на русском языке

Мы поможем вам установить и настроить Secret Server

Москва, Россия
8 495 223 35 33
8 800 550 52 23

London, UK
44 2036 084323

Washington D.C.
1 202 802 9399