En un entorno de TI, algunos secretos se gestionan bien, mientras que otros pasan desapercibidos. A continuación se incluye una lista de verificación rápida de los tipos de secretos que suelen gestionar las empresas y un tipo de secreto que deberían gestionar.
Contraseña (x) Certificado TLS (x) Cuenta (x) Clave SSH ???
Los secretos anteriores suelen estar protegidos con una solución de gestión de acceso privilegiado (PAM) o una solución similar. Sin embargo, la mayoría de los proveedores de PAM tradicionales dicen poco sobre la gestión de claves SSH. La razón es simple: no tenemos la tecnología para gestionarlo adecuadamente.
Puedo probarlo. Todos nuestros clientes de administración de claves SSH tenían implementado PAM tradicional, pero se dieron cuenta de que no podían administrar sus claves SSH de esa manera. En el mejor de los casos, el PAM tradicional sólo puede detectar el 20% de todas las claves, y mucho menos gestionarlas.
Entonces, ¿cuál es el problema con las claves SSH?
Las claves SSH son credenciales de acceso al protocolo Secure Shell (SSH). Aunque son similares a las contraseñas en muchos aspectos, funcionan de manera diferente. Además, la cantidad de claves tiende a superar a las contraseñas en una proporción de 10:1, especialmente en entornos de TI establecidos desde hace mucho tiempo. Si bien solo algunas son contraseñas privilegiadas, casi todas las claves SSH abren la puerta a información valiosa.
Una llave también puede abrir puertas a varios servidores, como una llave maestra en una antigua mansión. Las claves raíz proporcionan acceso administrativo a uno o más servidores. Después de realizar una evaluación de riesgos con nosotros, un cliente descubrió una clave raíz que permitía el acceso a todos sus servidores.
Otro riesgo es que cualquiera pueda autoproporcionarse claves SSH. Las claves SSH no se administran de forma centralizada y están diseñadas. Esta es la razón por la que la proliferación de claves es un problema persistente en los grandes entornos de TI.
Además, las claves no vienen con una identificación de forma predeterminada, lo que hace que sea muy fácil compartir y clonar claves. También puedes compartirlo con terceros. De forma predeterminada, las claves no caducan.
Además, existen conexiones interactivas y automáticas, siendo estas últimas las más habituales. Todos los días, millones de conexiones automatizadas de aplicación a aplicación, de servidor a servidor y de máquina a máquina se realizan mediante SSH, y muchas organizaciones (la mayoría de las cuales son nuestros clientes) tienen suficiente control sobre las credenciales SSH de sus máquinas no.
Creo que entiendes el punto. Su entorno de TI puede estar lleno de claves del reino, pero no sabe cuántas hay, quién las usa, cuáles son legítimas y cuáles deben eliminarse. Las claves no tienen fechas de vencimiento y se pueden crear nuevas claves arbitrariamente sin la supervisión adecuada.
Los temas importantes son tus temas importantes.
¿Por qué el PAM tradicional no puede manejar claves SSH?
El PAM tradicional no gestiona bien las claves SSH porque son funcionalmente diferentes de las contraseñas. El PAM tradicional se creó para almacenar contraseñas e intenta hacer lo mismo con las claves. Almacenar una clave privada y distribuirla bajo demanda simplemente no funciona si entras en demasiados detalles sobre lo que hacen las claves (clave pública, clave privada, etc.). Las claves deben estar protegidas en el lado del servidor. De lo contrario, la gestión de claves será inútil.
Además, la solución primero debe descubrir las claves para poder gestionarlas. La mayoría de los PAM no lo permiten. También involucra archivos de configuración clave y otros elementos clave que no detecta el PAM tradicional. Para obtener más información, consulte la siguiente documentación:
PAM está incompleto sin la gestión de claves SSH
Incluso si su organización tiene el 100 % de control sobre las contraseñas, si no administra las claves SSH, podría perder el 80 % de sus credenciales críticas. SSH Communications Security, el inventor del protocolo Secure Shell (SSH), es la fuente original de credenciales de acceso llamadas claves SSH. Somos expertos en la gestión de claves SSH.
Sin credenciales, PAM no está preparado para el futuro
Volvamos al tema de las contraseñas. Incluso si mantienes tus contraseñas seguras, eso no significa que las estés administrando de la mejor manera. En entornos dinámicos modernos que utilizan servidores en la nube internos o alojados, contenedores y orquestación de Kubernetes, las bóvedas y PAM construidos hace 20 años simplemente no funcionan.
Es por eso que ofrecemos acceso temporal actualizado. Con este acceso, los secretos necesarios para acceder al objetivo se otorgan justo a tiempo para la sesión y caducan automáticamente una vez completada la autenticación. Esto elimina la necesidad de administrar contraseñas y claves. Nuestra solución no es intrusiva y requiere cambios mínimos en su entorno de producción para implementarse.
¿Por qué no reducir su superficie de ataque, eliminar la complejidad, ahorrar costos y minimizar el riesgo? Obtenga más información:
Por lo tanto, la mejor manera de administrar contraseñas y claves es no administrarlas en absoluto y, en cambio, pasar a una administración secreta efímera. Se verá así:
Ningún cliente ha dicho nunca: “Me gustaría seguir rotando mis contraseñas y claves”.
Una vez que migras sin credenciales, no hay vuelta atrás. Confíe en nuestros clientes que calificaron nuestra solución con una puntuación NPS de 71. Este es un número astronómico en el campo de la ciberseguridad.
Si bien el PAM tradicional ha funcionado bien en el pasado, es hora de preparar su entorno para el futuro con una solución moderna que elimine contraseñas y claves. Al ritmo que más te convenga.
Para obtener un enfoque integral de la gestión de acceso y secretos, consulte PrivX Zero Trust Suite.
¿Te pareció interesante este artículo? Este artículo es una contribución de nuestros valiosos socios. Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/passwordless-and-keyless-future-of.html
