En los entornos de TI, algunos secretos se gestionan bien y otros pasan desapercibidos. A continuación se incluye una lista rápida de los tipos de secretos que suelen gestionar las empresas, incluido un tipo que deberían gestionar:
- Contraseñas [x]
- Certificados TLS [x]
- Cuentas [x]
- Claves SSH???
Los secretos enumerados anteriormente normalmente se protegen mediante Privileged Access Management (PAM) o soluciones similares. Sin embargo, la mayoría de los proveedores de PAM tradicionales rara vez hablan de la gestión de claves SSH. La razón es simple: no tienen la tecnología para hacerlo correctamente.
Podemos probarlo. Todos nuestros clientes de administración de claves SSH han implementado un PAM tradicional, pero se dieron cuenta de que no podían administrar claves SSH con él. En el mejor de los casos, los PAM tradicionales pueden descubrir, y mucho menos gestionar, el 20% de todas las claves.
Entonces, ¿por qué tanto alboroto por las claves SSH?
Las claves SSH son credenciales de acceso al protocolo Secure Shell (SSH). En muchos sentidos, son similares a las contraseñas, pero funcionan de manera diferente. Además, las claves tienden a superar en número a las contraseñas, especialmente en entornos de TI de larga data, en una proporción de 10:1. Aunque sólo ciertas contraseñas tienen privilegios, casi todas las claves SSH abrir puertas a algo precioso.
Una llave también puede abrir puertas a varios servidores, como una llave maestra en las mansiones antiguas. Una clave raíz permite al administrador acceder a uno o varios servidores. Después de realizar una evaluación de riesgos con nosotros, uno de nuestros clientes descubrió una clave raíz que permitía el acceso a TODOS sus servidores.
Otro riesgo es que cualquiera pueda obtener las claves SSH por sí mismo. No se gestionan de forma centralizada y eso es intencionado. Esta es la razón por la que la proliferación de claves es un problema persistente en entornos informáticos a gran escala.
Hay aún más: las claves no vienen con una identidad predeterminada, por lo que compartirlas o duplicarlas es muy fácil. Asimismo, con terceros. De forma predeterminada, las claves nunca caducan.
A esto se suman las conexiones interactivas y automatizadas, siendo estas últimas las más extendidas. Cada día se ejecutan millones de conexiones automatizadas de aplicación a aplicación, de servidor a servidor y de máquina a máquina mediante SSH, pero muy pocas organizaciones (la mayoría de ellas nuestros clientes) tienen el control de las credenciales SSH de las máquinas.
Estoy seguro de que entiendes la idea: tu entorno de TI puede estar plagado de claves de tu reino, pero no sabes cuántas hay, quién las usa, cuáles son legítimas y cuáles deben eliminarse. qué claves no tienen fecha de vencimiento y se pueden crear más a voluntad sin la supervisión adecuada.
La cuestión clave es su cuestión clave.
Por qué los PAM tradicionales no pueden administrar claves SSH?
Debido a que las claves SSH son funcionalmente diferentes de las contraseñas, los PAM tradicionales no las manejan muy bien. Los PAM tradicionales fueron diseñados para proteger contraseñas e intentar hacer lo mismo con las claves. Sin entrar en detalles sobre la funcionalidad de las claves (como las claves públicas y privadas), proteger las claves privadas y distribuirlas bajo demanda simplemente no funciona. Las claves deben estar seguras en el lado del servidor; de lo contrario, mantenerlas bajo control es un esfuerzo inútil.
Además, su solución primero debe descubrir las claves para gestionarlos. La mayoría de los PAM no pueden hacerlo. También hay archivos de configuración clave y otros elementos clave (!) involucrados que los PAM tradicionales pasan por alto. Para obtener más información, consulte el siguiente documento:
Tu PAM no está completo sin la gestión de claves SSH
Incluso si su organización administra el 100 % de sus contraseñas, es probable que todavía le falten el 80 % de sus credenciales críticas si no administra las claves SSH. Como inventores del protocolo Secure Shell (SSH), en SSH Communications Security somos la fuente original de la credencial de acceso llamada clave SSH. Conocemos los entresijos de su gestión.
Su PAM no está preparado para el futuro sin acceso sin inicio de sesión
Volvamos al tema de las contraseñas. Incluso si tienes una copia de seguridad de ellos, no los estás administrando de la mejor manera posible. Los entornos modernos y dinámicos que utilizan servidores en la nube internos o alojados, contenedores u orquestación de Kubernetes no funcionan bien con bóvedas o PAM creados hace 20 años.
Es por eso que ofrecemos acceso efímero moderno donde los secretos necesarios para acceder a un objetivo se otorgan justo a tiempo para la sesión y caducan automáticamente una vez que se completa la autenticación. Esto no deja contraseñas ni claves que administrar, en absoluto. Nuestra solución también es no intrusiva: su implementación requiere modificaciones mínimas en su entorno de producción.
¿Cómo reducir la superficie de ataque, eliminar la complejidad, ahorrar costes y minimizar riesgos? Para saber más, haga clic aquí:
Entonces, la mejor manera de administrar contraseñas Y claves es no tener que gestionarlos en absoluto y en su lugar pasar a manejar secretos efímeros.
“Me gustaría seguir cambiando contraseñas y claves. » ¡Ningún cliente ha dicho eso nunca!
Una vez que renuncie a sus credenciales, no podrá volver atrás. Nuestros clientes nos han otorgado una puntuación NPS de 71, que es astronómica en el espacio de la ciberseguridad.
Los PAM tradicionales han funcionado bien hasta ahora, pero es hora de preparar su entorno para el futuro con una solución moderna que le permita funcionar sin contraseña ni llave. Al ritmo que más te convenga.
Descubra nuestros Suite PrivX de confianza cero para aprender a gestionar el acceso y los secretos a nivel global.