A medida que las identidades de las máquinas explotan en los entornos de estrato, las empresas reportan ganancias dramáticas de productividad al eliminar las credenciales estáticas. Y sólo los sistemas heredados siguen siendo el anilla débil.
Durante décadas, las organizaciones han dependido de secretos estáticos, como claves API, contraseñas y tokens, como identificadores únicos para las cargas de trabajo. Si admisiblemente este enfoque proporciona una trazabilidad clara, crea lo que los investigadores de seguridad describen como una «pesadilla operativa» de encargo manual del ciclo de vida, programas de rotación y riesgos constantes de fuga de credenciales.
Este desafío ha impulsado tradicionalmente a las organizaciones en dirección a soluciones centralizadas de encargo de secretos como HashiCorp Vault o CyberArk, que proporcionan intermediarios universales para secretos en todas las plataformas. Sin requisa, estos enfoques perpetúan el problema fundamental: la proliferación de secretos estáticos que requieren una encargo y rotación cuidadosas.
«Tener una carga de trabajo en Azure que necesita percibir datos de AWS S3 no es ideal desde una perspectiva de seguridad», explica un ingeniero de DevOps que gestiona un entorno multinube. «La autenticación entre nubes y la complejidad de la autorización dificultan la configuración segura, especialmente si elegimos simplemente configurar la carga de trabajo de Azure con claves de golpe de AWS».
El caso empresarial para el cambio
Los estudios de casos empresariales documentan que las organizaciones implementar identidades administradas informan una reducción del 95 % en el tiempo dedicado a regir credenciales por componente de la aplicación, yuxtapuesto con una reducción del 75 % en el tiempo dedicado a estudiar mecanismos de autenticación específicos de la plataforma, lo que resulta en cientos de horas ahorradas anualmente.
Pero, ¿cómo topar la transición y qué nos impide eliminar por completo los secretos estáticos?
Soluciones nativas de plataforma
Las identidades administradas representan un cambio de ejemplo del maniquí tradicional de «lo que tienes» a un enfoque de «quién eres». En puesto de incorporar credenciales estáticas en las aplicaciones, las plataformas modernas ahora brindan servicios de identidad que emiten credenciales de corta duración y que se rotan automáticamente para cargas de trabajo autenticadas.
La transformación albarca a los principales proveedores de estrato:
- Amazon Web Services fue pionero en el aprovisionamiento automatizado de credenciales a través de Roles de IAMdonde las aplicaciones reciben permisos de golpe temporal automáticamente sin juntar claves estáticas
- Ofertas de Microsoft Azure Identidades administradas que permiten que las aplicaciones se autentiquen en servicios como Key Vault y Storage sin que los desarrolladores tengan que regir cadenas de conexión o contraseñas.
- Google Cloud Platform proporciona cuentas de servicio con capacidades entre nubes, lo que permite que las aplicaciones se autentiquen en diferentes entornos de estrato sin problemas.
- GitHub y GitLab han introducido la autenticación automatizada para los procesos de ampliación, eliminando la aprieto de juntar credenciales de golpe a la estrato en las herramientas de ampliación.
La efectividad híbrida
Sin requisa, la efectividad tiene más matices. Los expertos en seguridad enfatizan que las identidades administradas no resuelven todos los desafíos de autenticación. Las API de terceros aún requieren claves API, los sistemas heredados a menudo no pueden integrarse con los proveedores de identidad modernos y la autenticación entre organizaciones aún puede requerir secretos compartidos.
«El uso de un administrador de secretos alivio drásticamente la postura de seguridad de los sistemas que dependen de secretos compartidos, pero el uso intensivo perpetúa el uso de secretos compartidos en puesto de utilizar identidades sólidas», según investigadores de seguridad de identidad. El objetivo no es eliminar por completo a los administradores secretos, sino aminorar drásticamente su radio.
Las organizaciones inteligentes están reduciendo estratégicamente su huella secreta entre un 70% y un 80% a través de identidades administradas y luego utilizan una encargo secreta sólida para los casos de uso restantes, creando arquitecturas resilientes que aprovechan lo mejor de uno y otro mundos.
El desafío del descubrimiento de la identidad no humana
La mayoría de las organizaciones no tienen visibilidad de su panorama de credenciales flagrante. Los equipos de TI a menudo descubren cientos o miles de claves API, contraseñas y tokens de golpe repartidos por su infraestructura, con patrones de uso y propiedad poco claros.
«No se puede reemplazar lo que no se puede ver», explica Gaetan Ferry, investigador de seguridad de GitGuardian. «Ayer de implementar sistemas de identidad modernos, las organizaciones deben comprender exactamente qué credenciales existen y cómo se utilizan».
La plataforma de seguridad NHI (identidad no humana) de GitGuardian aborda este desafío de descubrimiento al convidar visibilidad integral de los paisajes secretos existentes ayer de la implementación de la identidad administrada.
La plataforma descubre claves API, contraseñas e identidades de máquinas ocultas en infraestructuras completas, lo que permite a las organizaciones:
- Mapear dependencias entre servicios y credenciales.
- Identifique candidatos de migración listos para la transformación de la identidad administrada
- Evaluar los riesgos asociados con el uso secreto flagrante
- Planificar migraciones estratégicas en puesto de transformaciones ciegas
