A medida que las identidades de las máquinas explotan en los entornos de nube, las empresas informan aumentos dramáticos en la productividad al eliminar las credenciales estáticas. Y los sistemas heredados siguen siendo la única parte vulnerable.
Durante décadas, las organizaciones han dependido de secretos estáticos, como claves API, contraseñas y tokens, como identificadores únicos para sus cargas de trabajo. Aunque este enfoque proporciona una trazabilidad clara, crea lo que los investigadores de seguridad describen como una «pesadilla operativa»: gestión manual del ciclo de vida, programas de rotación y riesgo constante de fuga de credenciales.
Este desafío ha llevado tradicionalmente a las organizaciones a centralizar soluciones de gestión de secretos como HashiCorp Vault y CyberArk, que proporcionan un intermediario universal de secretos en todas las plataformas. Sin embargo, estos enfoques perpetúan el problema fundamental de la prevalencia de secretos estáticos que requieren una gestión y rotación cuidadosas.
«Desde el punto de vista de la seguridad, colocar cargas de trabajo que necesitan leer datos de AWS S3 en Azure no es lo ideal», explica un ingeniero de DevOps que administra un entorno multinube. «La complejidad de la autenticación y autorización entre nubes hace que sea difícil configurarla de forma segura, especialmente si elige simplemente configurar sus cargas de trabajo de Azure con claves de acceso de AWS».
caso de negocio para el cambio
Los estudios de casos empresariales muestran que las organizaciones que implementan identidades administradas reportan una reducción del 95 % en el tiempo dedicado a administrar las credenciales para cada componente de la aplicación y una reducción del 75 % en el tiempo dedicado a aprender mecanismos de autenticación específicos de la plataforma, lo que resulta en un ahorro de cientos de horas por año.
Pero, ¿cómo debería abordar la migración y qué le impide eliminar por completo los secretos estáticos?
Solución nativa de plataforma
La identidad gestionada representa un cambio de paradigma del modelo tradicional de «lo que tienes» a un enfoque de «quién eres». En lugar de incorporar credenciales estáticas en las aplicaciones, las plataformas modernas brindan servicios de identidad que emiten credenciales de corta duración y que se rotan automáticamente para cargas de trabajo autenticadas.
Esta transformación abarca a los principales proveedores de nube.
Amazon Web Services fue pionero en el aprovisionamiento automático de credenciales a través de roles de IAM, donde las aplicaciones reciben automáticamente permisos temporales sin almacenar claves estáticas. Microsoft Azure proporciona identidades administradas que permiten que las aplicaciones se autentiquen en servicios como Key Vault y almacenamiento sin necesidad de que los desarrolladores administren cadenas de conexión o contraseñas. Google Cloud Platform proporciona cuentas de servicio con capacidades entre nubes, lo que permite que las aplicaciones se autentiquen sin problemas en diferentes entornos de nube. GitHub y GitLab han introducido la autenticación automática para los procesos de desarrollo que elimina la necesidad de almacenar credenciales de acceso a la nube en sus herramientas de desarrollo.
realidad híbrida
Sin embargo, la realidad tiene más matices. Los expertos en seguridad enfatizan que las identidades administradas no pueden resolver todos los desafíos de autenticación. Las API de terceros aún requieren claves API, los sistemas heredados a menudo no pueden integrarse con los proveedores de identidad modernos y la autenticación entre organizaciones aún puede requerir secretos compartidos.
Según los investigadores de seguridad de identidad, «los administradores secretos mejoran drásticamente la postura de seguridad de los sistemas que dependen de secretos compartidos, pero su uso frecuente perpetúa el uso de secretos compartidos en lugar de identidades sólidas». El objetivo no es eliminar por completo a los gestores secretos, sino reducir significativamente su alcance.
Las organizaciones inteligentes reducen estratégicamente su huella de secretos entre un 70 y un 80 % a través de identidades administradas y utilizan una gestión de secretos sólida para los casos de uso restantes, creando arquitecturas resilientes que aprovechan lo mejor de ambos mundos.
Desafío de descubrimiento de identidad no humana
La mayoría de las organizaciones no tienen visibilidad del estado actual de sus credenciales. Los equipos de TI a menudo descubren cientos o incluso miles de claves API, contraseñas y tokens de acceso dispersos por toda su infraestructura sin patrones claros de propiedad o uso.
«No se puede reemplazar lo que no se puede ver», explica Gaetan Ferry, investigador de seguridad de GitGuardian. «Antes de implementar un sistema de identidad moderno, las organizaciones deben comprender exactamente qué credenciales existen y cómo se utilizan».
La plataforma de seguridad NHI (identidad no humana) de GitGuardian aborda este desafío de descubrimiento al brindar visibilidad integral de su entorno de secretos existente antes de implementar identidades administradas.
La plataforma descubre claves API, contraseñas e ID de máquinas ocultas en toda su infraestructura, lo que permite a las organizaciones:
Mapear dependencias entre servicios y credenciales Identificar candidatos de migración que estén listos para la transformación de identidad administrada Evaluar los riesgos asociados con el uso de secretos actuales Planificar transformaciones estratégicas en lugar de ciegas
Source link
