Zarządzanie sekretami w środowisku DevOps. Jak robić to skutecznie?

Przedsiębiorstwa coraz częściej przyjmują metodyki DevOps, by szybciej osiągać cele biznesowe. Stosują więc narzędzia do automatyzacji i różne aplikacje, które używają specjalnych poświadczeń, czyli sekretów, by komunikować się między sobą i uzyskiwać dostęp do poufnych danych. Proces uwierzytelniania obywa się w ich przypadku automatycznie i przebiega poza kontrolą działów bezpieczeństwa. A to rodzi wiele problemów.

W artykule znajdziesz informacje na temat:

Tożsamości non-human. O czym należy pamiętać?

Zarządzanie sekretami – sytuacja idealna

Poświadczenia non-human – wyzwania

Sekrety pod kontrolą – korzyści dla biznesu

CyberArk Conjur Enterprise

W wielu firmach funkcjonują różnorodne zespoły zajmujące się rozwojem i operacjami. W ramach tych zespołów nie istnieje jednak spójny, bezpieczny i scentralizowany sposób przechowywania sekretów wykorzystywanych w ich projektach.

W narzędziach, kodzie oprogramowania i w pamięci współdzielonej między różnymi serwisami często znajdują się rozproszone i niezarządzane z jednego punktu poświadczenia, które obejmują zarówno dane ludzi, jak i maszyn. Wyzwaniem jest dziś zabezpieczenie wszystkich poświadczeń używanych przez użytkowników non-human. Sekretami, które należy chronić, są między innymi hasła, klucze (w tym prywatne, SSH, API) czy tokeny.

Tożsamości non-human. O czym należy pamiętać?

• Poświadczenia aplikacji i innych tożsamości non-human są powszechne. Obejmują sekrety wpisane na stałe w krytyczne dla działalności aplikacje, w tym wewnętrznie opracowane i komercyjne rozwiązania off-the-shelf (COTS), oprogramowanie zabezpieczające, takie jak skanery podatności, serwery aplikacji, oprogramowanie do zarządzania IT, platformy automatyzacji procesów robotycznych (RPA) i łańcuch narzędzi CI/CD.
• Poświadczenia aplikacji i innych tożsamości non-human muszą być zarządzane. Należy eliminować poświadczenia wpisane na stałe w kodzie i skryptach, stosować mechanizmy silnego uwierzytelniania, zasadę najmniejszych przywilejów, opartą na rolach kontrolę dostępu, rotację poświadczeń i audyt.
• Procesy automatyzacji są niezwykle potężne. Mogą uzyskiwać dostęp do chronionych danych, skalować się w niespotykanej skali, wykorzystywać zasoby chmurowe i szybko wykonywać procesy biznesowe. Jednak procesy te są jednocześnie podatne na zaawansowane cyberataki.

– Przedsiębiorstwa muszą chronić poświadczenia przypisane uprzywilejowanym tożsamościom non-human po to, by bronić się przed cyberatakami. Takie sekrety są najczęściej przypisane administratorom IT, programistom czy administratorom DevOps, nie działom bezpieczeństwa. Dlatego tak ważne jest to, by z punktu widzenia bezpieczeństwa zapewnić odpowiedni audyt oraz by dostęp osób do konsol zarządzających był odpowiednio zabezpieczony – mówi Michał Kudela, PAM Team Leader w Concept Data.

Zarządzanie sekretami – sytuacja idealna

Nowoczesne praktyki w zakresie tworzenia aplikacji (np. Agile, DevOps) dążą do szybkiego, niezawodnego i bezpiecznego dostarczania nowych rozwiązań. Natomiast działy bezpieczeństwa wymagają kontrolowanego używania poświadczeń w narzędziach, platformach i serwisach. Zarządzanie sekretami (secrets management) zapewnia taką kontrolę, wymuszając stosowanie mechanizmów silnego uwierzytelniania, autoryzacji i audytu, jednocześnie wspierając terminowe dostarczanie nowych rozwiązań.

Dobre praktyki z zakresu bezpieczeństwa zalecają stosowanie kompleksowego, scentralizowanego systemu zarządzania sekretami połączonego z politykami kontroli i audytu, które są tworzone i wdrażane niezależnie od logiki aplikacji. Sekrety (poświadczenia do baz danych, klucze dostępu do Azure lub AWS, prywatne klucze SSH, certyfikaty itd.) są wydawane i zarządzane w bezpieczny sposób z jednego miejsca. Bezpieczeństwo poświadczeń jest ciągle mierzone, ulepszane i aktualizowane przez odpowiednio przygotowane do tego zespoły.

Poświadczenia non-human – wyzwania

Wdrożenie systemu zarządzania sekretami jest dziś zatem koniecznością w przedsiębiorstwach, które korzystają z metodyk DevOps. Przystępując do implementacji takiego rozwiązania, firmy stają przed kilkoma poważnymi wyzwaniami, z którymi muszą się zmierzyć.

1. W jaki sposób skutecznie ujawnić wpisane na stałe sekrety przechowywane w plikach konfiguracyjnych, kodzie i narzędziach DevOps?
2. Jak zidentyfikować wszystkie sekrety rozproszone w wielu projektach i jednostkach?
3. Jak dobrać i wyszkolić zespół do wdrożenia i obsługi platformy zarządzania tajemnicami?
4. W jaki sposób zorganizować prace zespołu DevOps, by znalazł czas na opracowanie strategii, wdrożenie platformy i utrzymanie jej działania?
5. Jak przygotować zespoły do zarządzania ryzkiem związanym z administrowaniem sekretami aplikacji?

– Zespoły DevOps nie są zwykle wystarczająco duże, by ich część mogła zostać oddelegowana do nowego zadania. Dodatkowo administratorom IT i programistom brakuje wiedzy z obszaru bezpieczeństwa. Dlatego tak ważne jest wybranie rozwiązania łatwego w obsłudze i zautomatyzowanego oraz współpraca z dostawcami, którzy nie tylko pomogą wdrożyć system, ale i przeszkolą zespół – dodaje Michał Kudela.

Sekrety pod kontrolą – korzyści dla biznesu

Stawienie czoła tym wyzwaniom i wdrożenie systemu przynosi korzyści nie tylko działom DevOps. Na zarządzaniu sekretami zyskuje cała firma i prowadzony przez nią biznes.

Jakie rezultaty biznesowe odniesie przedsiębiorstwo dzięki wdrożeniu?

1. Poprawa wydajności pracy nad nowymi aplikacjami i funkcjami oraz skrócenie czasu wprowadzania ich na rynek dzięki dużym możliwościom automatyzacji.
2. Zapobieganie incydentom spowodowanym ujawnieniem sekretów w łańcuchu dostaw oprogramowania i procesach CI/CD.
3. Poprawienie warunków pracy i zadowolenia z niej programistów i administratorów DevOps poprzez zdjęcie z nich odpowiedzialności za bezpieczeństwo sekretów.
4. Skrócenie czasu, jaki zespół rozwojowy poświęca na administrowanie rozwiązaniem do zarządzania sekretami.
5. Zapewnienie pełnego audytu dotyczącego dostępów tożsamości typu non-human do sekretów.
6. Redukcja ryzyka cyberataków.

CyberArk Conjur Enterprise

CyberArk Conjur jest częścią platformy CyberArk Identity Security, która obejmuje wiele produktów wspierających organizacje w kontroli i zarządzaniu tożsamością oraz kontami uprzywilejowanymi w ich środowisku IT.

Conjur został stworzony z myślą o zarządzaniu bezpieczeństwem, poświadczeniami i dostępami w środowiskach DevOps. Wspiera poprawne zarządzanie sekretami wykorzystywanymi przez aplikacje, mikrousługi, skrypty, narzędzia Continuous Integration (CI) oraz Continuous Delivery (CD), interfejsy API itp.

Wdrażając to rozwiązanie, firma może między innymi:

• Zunifikować przechowywanie, rotację i zarządzanie sekretami.
• Zyskać możliwość przeprowadzania audytów oraz szybkiego reagowania w przypadku naruszenia sekretów lub aktywnego ataku.
• Mieć pełny zapis dostępu do sekretów i minimalizować dostęp osób do sekretów środowiska produkcyjnego.
• Delegować zarządzanie sekretami do zespołów DevOps i administratorów.
• Dostarczyć programistom standardowe podejście do zarządzania sekretami.
• Zautomatyzować proces wdrażania sekretów w całym środowisku.

Więcej o tym rozwiązaniu przeczytasz w naszym artykule o bezpieczeństwie środowiska DevOps.

Jeśli interesuje Cię tematyka zarządzania sekretami w środowisku DevOps, zapraszamy do kontaktu z naszymi ekspertami: info@conceptdata.pl.