A medida que las identidades de las máquinas explotan en los entornos de cirro, las empresas reportan ganancias dramáticas de productividad al eliminar las credenciales estáticas. Y sólo los sistemas heredados siguen siendo el enlace débil.
Durante décadas, las organizaciones han dependido de secretos estáticos, como claves API, contraseñas y tokens, como identificadores únicos para las cargas de trabajo. Si perfectamente este enfoque proporciona una trazabilidad clara, crea lo que los investigadores de seguridad describen como una “pesadilla operativa” de administración manual del ciclo de vida, programas de rotación y riesgos constantes de fuga de credenciales.
Este desafío ha impulsado tradicionalmente a las organizaciones cerca de soluciones centralizadas de administración de secretos como HashiCorp Vault o CyberArk, que proporcionan intermediarios universales para secretos en todas las plataformas. Sin secuestro, estos enfoques perpetúan el problema fundamental: la proliferación de secretos estáticos que requieren una administración y rotación cuidadosas.
“Tener una carga de trabajo en Azure que necesita interpretar datos de AWS S3 no es ideal desde una perspectiva de seguridad”, explica un ingeniero de DevOps que gestiona un entorno multinube. “La autenticación entre nubes y la complejidad de la autorización dificultan la configuración segura, especialmente si elegimos simplemente configurar la carga de trabajo de Azure con claves de ataque de AWS”.
El caso empresarial para el cambio
Los estudios de casos empresariales documentan que las organizaciones implementar identidades administradas informan una reducción del 95 % en el tiempo dedicado a gobernar credenciales por componente de la aplicación, adjunto con una reducción del 75 % en el tiempo dedicado a estudiar mecanismos de autenticación específicos de la plataforma, lo que resulta en cientos de horas ahorradas anualmente.
Pero, ¿cómo afrontar la transición y qué nos impide eliminar por completo los secretos estáticos?
Soluciones nativas de plataforma
Las identidades administradas representan un cambio de modelo del maniquí tradicional de “lo que tienes” a un enfoque de “quién eres”. En emplazamiento de incorporar credenciales estáticas en las aplicaciones, las plataformas modernas ahora brindan servicios de identidad que emiten credenciales de corta duración y que se rotan automáticamente para cargas de trabajo autenticadas.
La transformación albarca a los principales proveedores de cirro:
- Amazon Web Services fue pionero en el aprovisionamiento automatizado de credenciales a través de Roles de IAMdonde las aplicaciones reciben permisos de ataque temporal automáticamente sin acumular claves estáticas
- Ofertas de Microsoft Azure Identidades administradas que permiten que las aplicaciones se autentiquen en servicios como Key Vault y Storage sin que los desarrolladores tengan que gobernar cadenas de conexión o contraseñas.
- Google Cloud Platform proporciona cuentas de servicio con capacidades entre nubes, lo que permite que las aplicaciones se autentiquen en diferentes entornos de cirro sin problemas.
- GitHub y GitLab han introducido la autenticación automatizada para los procesos de crecimiento, eliminando la escazes de acumular credenciales de ataque a la cirro en las herramientas de crecimiento.
La verdad híbrida
Sin secuestro, la verdad tiene más matices. Los expertos en seguridad enfatizan que las identidades administradas no resuelven todos los desafíos de autenticación. Las API de terceros aún requieren claves API, los sistemas heredados a menudo no pueden integrarse con los proveedores de identidad modernos y la autenticación entre organizaciones aún puede requerir secretos compartidos.
“El uso de un administrador de secretos perfeccionamiento drásticamente la postura de seguridad de los sistemas que dependen de secretos compartidos, pero el uso intensivo perpetúa el uso de secretos compartidos en emplazamiento de utilizar identidades sólidas”, según investigadores de seguridad de identidad. El objetivo no es eliminar por completo a los administradores secretos, sino compendiar drásticamente su ámbito.
Las organizaciones inteligentes están reduciendo estratégicamente su huella secreta entre un 70% y un 80% a través de identidades administradas y luego utilizan una administración secreta sólida para los casos de uso restantes, creando arquitecturas resilientes que aprovechan lo mejor de entreambos mundos.
El desafío del descubrimiento de la identidad no humana
La mayoría de las organizaciones no tienen visibilidad de su panorama de credenciales flagrante. Los equipos de TI a menudo descubren cientos o miles de claves API, contraseñas y tokens de ataque repartidos por su infraestructura, con patrones de uso y propiedad poco claros.
“No se puede reemplazar lo que no se puede ver”, explica Gaetan Ferry, investigador de seguridad de GitGuardian. “Antiguamente de implementar sistemas de identidad modernos, las organizaciones deben comprender exactamente qué credenciales existen y cómo se utilizan”.
La plataforma de seguridad NHI (identidad no humana) de GitGuardian aborda este desafío de descubrimiento al ofrecer visibilidad integral de los paisajes secretos existentes antiguamente de la implementación de la identidad administrada.
La plataforma descubre claves API, contraseñas e identidades de máquinas ocultas en infraestructuras completas, lo que permite a las organizaciones:
- Mapear dependencias entre servicios y credenciales.
- Identifique candidatos de migración listos para la transformación de la identidad administrada
- Evaluar los riesgos asociados con el uso secreto flagrante
- Planificar migraciones estratégicas en emplazamiento de transformaciones ciegas
