Panoramica
Un segreto
è un tipo di oggetto che contiene informazioni sensibili, come password, file di configurazione del cliente, credenziali del repository e così via. È consigliabile archiviare come segreti
tutti quegli elementi che devono rimanere privati e disaccoppiati dai pod.
La gestione dei segreti
è un aspetto fondamentale per proteggere l'ambiente da violazioni dei dati e furti delle credenziali.
Cos'è la gestione dei segreti?
La gestione dei segreti è un procedimento che assicura che le informazioni sensibili necessarie per l'esecuzione delle operazioni quotidiane restino confidenziali. Rafforza la sicurezza in tutti gli ambienti di sviluppo e produzione aziendali senza ostacolare però i flussi di lavoro DevOps o Security Ops.
La gestione dei segreti non è un'unica soluzione, ma piuttosto un insieme di pratiche di sicurezza che comprendono tra le altre cose autenticazione e monitoraggio degli accessi, applicazione del privilegio minimo e controllo degli accessi basato sui ruoli. L'utilizzo combinato di tutte queste pratiche assicura una gestione puntuale dei segreti ed evita che utenti non autenticati possano accedere ai dati sensibili.
Esistono diversi strumenti di automazione che possono agevolare la gestione dei segreti centralizzando il controllo delle risorse sensibili. Tra i più importanti ricordiamo: Red Hat® Ansible® Automation Platformcon Red Hat® OpenShift®, CyberArk e diverse soluzioni all'interno di Git e GitLab.
Risorse da Red Hat
Come funziona la gestione dei segreti?
La gestione dei segreti prevede di rispettare un framework di sicurezza e di implementare determinate opzioni di sicurezza in punti chiave del ciclo di vita DevSecOps.
Nell'esempio riportato sopra si possono vedere le soluzioni di sicurezza associabili a una certa fase del ciclo di vita DevOps. Ad esempio, è possibile utilizzare la Software Composition Analysis per scansionare il codebase del software open source nell'ambiente di sviluppo integrato (IDE), il repository di compilazione, il registro dei container e i cluster. In questo modo ci si tutela dalla presenza di vulnerabilità downstream nel codebase. L'adozione combinata di archivi protetti di segreti e strumenti di autenticazione in fasi strategiche del ciclo di sviluppo aiuta anche a ridurre al minimo le occasioni propizie per hacker o utenti malintenzionati.
Quello riportato sopra è solo un esempio che illustra l'efficacia della gestione dei segreti quando coniugata a soluzioni di sicurezza. Per una gestione puntuale dei segreti non è necessario adottare tutte le soluzioni elencate sopra, ma applicare in maniera strategica le varie opzioni di sicurezza in base ai segreti da proteggere e alle esigenze specifiche del carico di lavoro.
Perché utilizzare la gestione dei segreti?
È importante tenere a mente che per quanto i segreti di OpenShift e Kubernetes siano codificati per impostazione predefinita, questo potrebbe non bastare a proteggere i dati. La codifica prevede di trasformare i dati in un formato diverso; è però un processo che si può invertire. La crittografia trasforma i dati, ma per invertire il processo o accedere ai dati richiede l'utilizzo di specifiche chiavi. Si tratta di un metodo di protezione dei dati molto più sicuro e può offrire un valido contributo se inserito all'interno di una strategia di gestione dei segreti.
Oltre alla protezione dei dati, sono svariati gli scenari di utilizzo in cui la gestione dei segreti può essere utile:
- Evitare la proliferazione incontrollata/isole di sicurezza: centralizzando il controllo dei segreti, si evita di fornire accessi speciali solo a un ristretto gruppo all'interno dell'organizzazione escludendo altri utenti.
- Identificare gli utenti malintenzionati: adottando requisisti di sicurezza stringenti, è possibile bloccare immediatamente potenziali hacker e i loro tentativi di farsi passare per utenti autorizzati.
- Automatizzare la verifica delle credenziali: grazie all'automazione è possibile ridurre la quantità di attività manuali necessarie per autenticare gli utenti ed evitare perdite di tempo.
Dopo questa panoramica introduttiva alla gestione dei segreti, puoi approfondire le opzioni di sicurezza disponibili.
Il blog ufficiale di Red Hat
Leggi gli articoli del blog di Red Hat per scoprire novità e consigli utili sulle nostre tecnologie, e avere aggiornamenti sul nostro ecosistema di clienti, partner e community.