La gestión de los secretos

Publicado 14 de mayo de 20247 minutos de lectura
Copiar URL

Resumen

La gestión de los secretos consiste en controlar las credenciales de TI, como las contraseñas, las claves de la interfaz de programación de aplicaciones (API) y los archivos de configuración. Las empresas de TI utilizan este proceso para mantener reservada y actualizada la información confidencial, mientras ponen los recursos controlados a disposición de las personas y los sistemas que los necesitan.

Es un concepto amplio. En un entorno empresarial, una buena gestión de los secretos generalmente implica almacenar los secretos en un solo lugar e integrar ese repositorio con herramientas de automatización de la TI. Para los equipos de desarrollo de software, la gestión de los secretos puede formar parte de los flujos de trabajo de DevSecOps. En este artículo, detallaremos el funcionamiento de la gestión de los secretos empresariales y los beneficios que ofrece.

Funcionamiento de la gestión de los secretos

Los secretos son valiosos. Es por eso que no debes escribir tus contraseñas en una nota adhesiva pegada a tu computadora. (Si haces eso, te recomendamos que mejores la gestión de los secretos). La divulgación de uno de ellos puede permitir que un atacante acceda a datos confidenciales o incluso que acceda a más secretos y se desplace lateralmente a través de los sistemas.

La alternativa a la gestión de los secretos, es decir, la forma antigua, es realizar un seguimiento de ellos con procesos manuales. Por ejemplo, imagínate que todos los integrantes de tu equipo necesitan acceso a varias cuentas de vez en cuando, por lo que pegas todas las credenciales de inicio de sesión en un documento y lo compartes con todos. Este método podría funcionar por un tiempo, pero concediste más acceso del necesario. 

Como consecuencia, puede que se genere confusión y se introduzcan riesgos innecesarios de distintas maneras. Es posible que alguien cambie una contraseña, pero se olvide de actualizar la lista, o la copie y haya varias versiones. También podrían borrarla por error. O quizás una persona codifique una contraseña en un script y la envíe a un repositorio público, lo cual expondría un secreto. Tal vez los piratas informáticos ingresen a una cuenta de trabajo y, entonces, puedan acceder no solo a la lista, sino también a todo lo que esta permita el acceso.

La gestión de los secretos ofrece formas de prevenir estos problemas. No es necesario reforzar cada control de seguridad de forma permanente. Por el contrario, la gestión eficaz de los secretos consiste en aplicar medidas de seguridad de forma estratégica para reducir el riesgo de que se vean comprometidos en áreas específicas. Estos son algunos de los aspectos básicos de la buena gestión de los secretos:

  • La gestión de identidades y de acceso (IAM). Con la IAM, puedes gestionar la autenticación de los usuarios con un solo sistema y, luego, conectar al usuario a otros sistemas desde allí. La gestión concentrada de la autenticación se basa en estándares como el protocolo ligero de acceso a directorios (LDAP) y el lenguaje de marcado de confirmación de seguridad (SAML).
  • Cifrado de las credenciales de acceso. El cifrado convierte un secreto en una cadena que no se puede leer sin una clave de descifrado. El protocolo Secure Shell (SSH), muy utilizado para el acceso remoto, se basa en claves de cifrado. Puedes elegir entre varios niveles de solidez de cifrado criptográfico y adoptar prácticas estándares que se realicen de manera semanal, como la rotación de las claves de cifrado. El cifrado es diferente de la codificación, que cambia un secreto con un método patrón que cualquier persona puede revertir fácilmente.
  • Control de acceso basado en funciones (RBAC). El RBAC brinda acceso a los recursos según la función del usuario dentro de un equipo o una empresa más grande. Esto permite que los administradores de TI agrupen a los usuarios de acuerdo con sus trabajos y gestionen los permisos para todo el grupo a la vez, en lugar de hacerlo de a una persona.
  • Gestión de certificados. Los certificados son protocolos criptográficos que protegen la comunicación entre las redes. Los certificados de capa de sockets seguros (SSL) y de la seguridad de la capa de transporte (TLS) son los estándares para la comunicación en Internet. Para establecer la confianza, un servidor necesita un certificado digital emitido por una autoridad de certificación (CA). Los certificados SSL deben renovarse periódicamente, y se puede automatizar un sistema de gestión de los secretos para controlar este proceso.
  • Principios de confianza cero. La confianza cero, que ha ganado popularidad en los últimos años, es un enfoque de las arquitecturas de seguridad que supone que ninguna interacción es confiable desde el principio. El acceso a los recursos confidenciales solo se otorga de forma específica. La confianza cero se basa en el concepto de privilegios mínimos, según el cual los usuarios solo deben tener acceso a los recursos que realmente necesiten.

La gestión de los secretos no se limita a un solo concepto o práctica. Más bien, implica unificar una variedad de estrategias comunes en un proceso concentrado y automatizado.

Recursos de Red Hat

Ventajas de la gestión de los secretos

La gestión de los secretos no solo protege los datos, sino que también mejora las operaciones generales de otras maneras importantes:

  • Evita las islas de seguridad: Cuando concentras el control de los secretos, puedes evitar que solo un grupo pequeño dentro de la empresa tenga acceso especializado.
  • Identifica a los agentes malintencionados: Al implementar requisitos de verificación estrictos, puedes bloquear a los posibles piratas informáticos que quieren hacerse pasar por usuarios autorizados.
  • Automatiza las credenciales: Si automatizas la verificación y la aceptación de las credenciales, reducirás el trabajo manual que se necesita para autenticar a los usuarios y evitarás que se obstaculicen sus flujos de trabajo.

Enfoques para la gestión de los secretos empresariales

En un entorno informático empresarial, los riesgos son mayores y la gestión de los secretos es más compleja. Los administradores deben asignar de manera responsable el acceso a varios sistemas y conjuntos de datos diferentes, y muchos usuarios necesitan acceder a diversos recursos durante distintos períodos de tiempo. La gestión de los secretos empresariales es una disciplina bien desarrollada que ofrece muchas opciones, entre las que se incluyen las soluciones open source.

Red Hat® Ansible® Automation Platform y Red Hat OpenShift® se basan en estándares abiertos y se integran con muchas herramientas de gestión de los secretos. Las funciones de gestión de los secretos de Ansible Automation Platform incluyen integraciones con otras plataformas importantes, como HashiCorp Vault, CyberArk, AWS Secrets Manager y Azure Key Vault, entre otras.

HashiCorp Vault

HashiCorp Vault es una plataforma concentrada para la gestión de los secretos y la IAM. Proporciona credenciales dinámicas y por tiempo limitado. Además, te permite mantener una única fuente de información para los datos confidenciales. Los agentes de Vault pueden integrarse a Red Hat Ansible Automation Platform y a Red Hat OpenShift para gestionar los certificados y las credenciales de acceso en los entornos de TI personalizados.

En conjunto, Vault y Red Hat Ansible Automation Platform te permiten aplicar tanto el control de acceso como las auditorías de cumplimiento normativo y la resolución de problemas. Obtendrás los beneficios del control concentrado, que incluye la reducción de los riesgos, la simplificación de las auditorías y la garantía de que los cambios en la infraestructura cumplen con las normas y se pueden rastrear.

Obtén más información sobre Red Hat y HashiCorp

CyberArk

Keep credentials and data safe with Red Hat and CyberArk (2:03)

CyberArk ofrece una plataforma de IAM y de secretos para gestionar el acceso de los usuarios a los recursos. Red Hat Ansible Automation Platform se integra a CyberArk Conjur para que puedas aplicar las políticas de seguridad y gestionar los secretos en los entornos de aplicaciones, lo cual incluye su uso en DevOps y en las herramientas de integración y distribución continuas (CI/CD).

Puedes incorporar automáticamente las prácticas recomendadas de gestión de los secretos en todo el proceso de DevOps. Esto incluye la implementación de secretos para que los utilicen las aplicaciones, la rotación en función de las políticas de seguridad de la empresa, la supervisión del acceso de los usuarios con privilegios, la mejora del control, el mantenimiento de los estándares de cumplimiento y mucho más.

Obtén más información sobre Red Hat y CyberArk

Gestión de los secretos en entornos de Kubernetes

En las implementaciones de Kubernetes, como los entornos de Red Hat OpenShift, las aplicaciones se organizan en flotas de contenedores, que necesitan acceder a los secretos para comunicarse con otros sistemas y llevar a cabo las funciones previstas.

Las dos formas principales de gestionar los secretos en Kubernetes son las variables de entorno y los montajes de volúmenes.

  • Con las primeras, los pares clave-valor del secreto se insertan directamente en el contenedor como variables de entorno.
  • Con los segundos, el secreto se monta como un conjunto de archivos en el sistema de archivos del contenedor. El código de la aplicación lee los datos secretos de estos archivos.

Los montajes de volúmenes ofrecen varias ventajas de seguridad y son el enfoque recomendado para Red Hat OpenShift. El modelo de seguridad de Red Hat OpenShift ofrece una base de protección para las variables del entorno, pero el uso predeterminado de los montajes de volúmenes es un paso que ayuda a mantener los secretos lo más seguros posible.

Relacionado con esto, Kubernetes Secrets utiliza objetos para separar los datos confidenciales del código de una aplicación, de modo que los secretos no estén expuestos en el código, lo cual se ajusta a las prácticas de arquitectura de seguridad en GitOps.

Obtén más información sobre los secretos en Red Hat OpenShift

Motivos para confiar en Red Hat para tu enfoque de seguridad

Red Hat aplica los principios de seguridad open source para proteger a las comunidades de clientes, colaboradores y partners de las amenazas a la seguridad digital. Esto incluye soporte para la gestión de los secretos incorporada en los productos, así como integraciones con otras soluciones de esta práctica. 

Red Hat Enterprise Linux® proporciona una base para la gestión, la autenticación y la autorización de las identidades desde un solo lugar en entornos altamente dinámicos y adaptables.

Red Hat OpenShift ofrece controles de seguridad integrados para el desarrollo de aplicaciones basadas en contenedores, lo cual incluye estrategias de gestión de los secretos que se ajustan al enfoque de DevOps.

Red Hat Ansible Automation Platform permite establecer la automatización concentrada de la gestión de los secretos junto con las integraciones con repositorios de secretos comunes.

El blog oficial de Red Hat

Obtenga la información más reciente sobre nuestro ecosistema de clientes, socios y comunidades.

Todas las versiones de prueba de los productos de Red Hat

Con las versiones de prueba gratuitas de nuestros productos, podrás adquirir experiencia práctica, prepararte para obtener una certificación o evaluar las soluciones para saber si son adecuadas para tu empresa.
Más información

Más información

La criptografía post-cuántica

Conoce el enfoque de Red Hat acerca de la criptografía post-cuántica, que consiste en algoritmos de cifrado resistentes a los ataques de las computadoras cuánticas.

Las ventajas de elegir Red Hat para DevSecOps

El enfoque de DevSecOps es complejo, pero las funciones de seguridad de la cartera de Red Hat permiten que los desarrolladores y los equipos de seguridad lo implementen en una etapa temprana del ciclo de vida con mayor facilidad.

¿Qué es SELinux?

Security-Enhanced Linux (SELinux) es una arquitectura de seguridad para los sistemas Linux® que otorga a los administradores mayor control sobre quién puede acceder al sistema.

Seguridad: lecturas recomendadas

Contenido relacionado

Artículos relacionados