O que é gerenciamento de segredos?

Publicado 14 de maio de 20246 minutos (tempo de leitura)
Copiar URL

Visão geral

O gerenciamento de segredos é o processo de controle das credenciais de TI, como senhas, chaves de interface de programação de aplicações (API) e arquivos de configuração. As organizações de TI usam esse processo para manter as informações confidenciais atualizadas e em sigilo, enquanto disponibilizam recursos controlados para as pessoas e os sistemas que precisam delas.

O gerenciamento de segredos é um conceito amplo. Em um ambiente empresarial, um bom gerenciamento de segredos normalmente significa ter um local centralizado para armazenar segredos e integrar esse repositório a ferramentas de automação de TI. Para equipes de desenvolvimento de software, esse processo pode fazer parte dos fluxos de trabalho de DevSecOps. Neste artigo, explicaremos mais detalhadamente como o gerenciamento de segredos empresariais funciona e os benefícios que ele pode oferecer.

Como o gerenciamento de segredos funciona?

Segredos são valiosos. É por isso que você não deve escrever suas senhas em notas adesivas e fixá-las à tela do seu computador. (Se você faz isso, é melhor aprimorar seu gerenciamento de segredos!) Divulgar um segredo pode permitir que um invasor acesse dados confidenciais, ou até mesmo mais segredos, e transite pelos seus sistemas.

A alternativa ao gerenciamento de segredos, à moda antiga, é o monitoramento de segredos usando processos manuais. Um exemplo básico: imagine que todos na sua equipe precisam acessar várias contas periodicamente, então você insere todas as credenciais de login em um documento e o compartilha com todo mundo. Isso pode funcionar por um tempo, mas você concedeu mais acesso do que o necessário. 

É algo que pode gerar confusão e introduzir riscos desnecessários. Talvez alguém altere uma senha, mas se esqueça de atualizar a lista. Ou copie a lista e gere várias versões dela. Uma pessoa pode apagar a lista por engano. Ou talvez alguém codifique uma senha em um script e o envie a um repositório público, expondo um segredo ao público. Ou uma conta corporativa pode ser invadida e um indivíduo mal-intencionado ganhar acesso à lista e a tudo o que ela permite acessar.

O gerenciamento de segredos oferece maneiras de evitar esses problemas. Não é necessário maximizar todos os controles de segurança o tempo todo. Um gerenciamento de segredos eficaz aplica medidas de segurança estratégicas para limitar o potencial de comprometimento de segredos em pontos específicos. Alguns dos fundamentos de um bom gerenciamento de segredos são:

  • Gerenciamento de identidade e acesso (IAM). Com o IAM, você pode lidar com a autenticação do usuário por um sistema e, depois, conectar o usuário a outros sistemas. O gerenciamento de autenticação centralizado conta com padrões como o Lightweight Directory Access Protocol (LDAP) e o Security Assertion Markup Language (SAML).
  • Criptografia de credenciais de acesso. A criptografia transforma um segredo em uma sequência de caracteres que é ilegível sem uma chave de descriptografia. O protocolo Secure Shell (SSH), amplamente usado para acesso remoto, depende de chaves de criptografia. Você pode escolher entre diferentes níveis de criptografia e adotar práticas recomendadas, como a rotação semanal das chaves. A criptografia é diferente da codificação, que altera um segredo de uma forma padrão que qualquer pessoa pode reverter com facilidade.
  • Controle de acesso baseado em função (RBAC). O RBAC oferece acesso a recursos com base na função do usuário dentro de uma equipe ou organização. Assim, os administradores de TI podem agrupar usuários por função e gerenciar as permissões do grupo todo ao mesmo tempo, e não de um usuário por vez.
  • Gerenciamento de certificados. Os certificados são protocolos criptográficos que protegem a comunicação em redes. Os certificados Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são os padrões para comunicação na internet. Para estabelecer confiança, um servidor precisa de um certificado digital emitido por uma autoridade de certificação (CA). Os certificados SSL precisam ser renovados regularmente, e um sistema de gerenciamento de segredos pode automatizar e controlar esse processo.
  • Princípios de Zero Trust. Ganhando popularidade nos últimos anos, Zero Trust é uma abordagem de arquiteturas de segurança que pressupõe que toda interação começa em um estado não confiável. O acesso a recursos confidenciais é concedido apenas granularmente. A abordagem Zero Trust se baseia no conceito de menor privilégio, afirmando que os usuários só devem acessar os recursos de que realmente precisam.

O gerenciamento de segredos não recorre a um conceito ou prática específica. Na verdade, ele unifica uma variedade de estratégias essenciais em um processo centralizado e automatizado.

Acesse a biblioteca de conteúdos da Red Hat

Quais são os benefícios do gerenciamento de segredos?

O gerenciamento de segredos não só protege seus dados, como também melhora suas operações gerais de outras formas importantes:

  • Prevenção contra ilhas de segurança: ao centralizar o controle de segredos, é possível evitar que apenas um grupo pequeno da sua empresa tenha acesso especializado que ninguém mais tem.
  • Identificação de agentes maliciosos: ao implementar requisitos de verificação sólidos, você elimina facilmente potenciais hackers, impedindo suas tentativas de se passar por um usuário credenciado.
  • Automatização de credenciais: ao automatizar a verificação e a admissão de credenciais, você reduz a quantidade de trabalho manual necessário para autenticar usuários e permite que seus fluxos de trabalho continuem sem interrupções.

Quais são algumas abordagens de gerenciamento de segredos empresariais?

Em um ambiente de computação empresarial, os riscos são maiores e o gerenciamento de segredos é mais complexo. Os administradores precisam alocar com responsabilidade o acesso a muitos sistemas e conjuntos de dados diferentes, e muitos usuários precisam acessar vários recursos por diferentes períodos de tempo. O gerenciamento de segredos empresariais é uma modalidade bem desenvolvida com muitas opções, inclusive soluções open source.

O Red Hat® Ansible® Automation Platform e o Red Hat OpenShift® se baseiam em padrões abertos e oferecem integração com várias ferramentas de gerenciamento de segredos. Os recursos de gerenciamento de segredos do Ansible Automation Platform incluem integrações com outras grandes plataformas, como HashiCorp Vault, CyberArk, AWS Secrets Manager, Azure Key Vault e muitas outras.

HashiCorp Vault

O HashiCorp Vault é uma plataforma centralizada para IAM e gerenciamento de segredos. O Vault oferece credenciais dinâmicas e com limite de tempo, além de ajudar você a manter uma single source of truth para dados confidenciais. Os agentes do Vault podem se integrar ao Red Hat Ansible Automation Platform e ao Red Hat OpenShift para gerenciar credenciais de acesso e certificados em ambientes de TI personalizados.

Juntos, o Vault e o Red Hat Ansible Automation Platform podem ajudar a reforçar o controle de acesso e a auditoria e correção de conformidade. Você terá os benefícios da governança centralizada, como riscos reduzidos, auditorias simplificadas e a garantia de que suas alterações na infraestrutura estarão em conformidade e poderão ser rastreadas.

Descubra mais sobre a Red Hat e a HashiCorp

CyberArk

Mantenha as credenciais e os dados em segurança com a Red Hat e a CyberArk (2:03)

A CyberArk oferece uma plataforma de segredos e IAM para gerenciar o acesso dos usuários aos recursos. O Red Hat Ansible Automation Platform se integra ao CyberArk Conjur para você aplicar políticas de segurança e gerenciar segredos em seus ambientes de aplicações, inclusive para uso em DevOps e ferramentas de integração e entrega contínuas (CI/CD).

Você pode incorporar automaticamente as práticas recomendadas de gerenciamento de segredos em todo o processo de DevOps. Isso inclui provisionamento de segredos para uso de aplicações, rotação de segredos com base nas políticas de segurança da organização, monitoramento do acesso de usuários privilegiados, melhoria da visibilidade, manutenção dos padrões de conformidade e muito mais.

Descubra mais sobre a Red Hat e a CyberArk

Gerenciamento de segredos em ambientes Kubernetes

Em implantações do Kubernetes, como os ambientes do Red Hat OpenShift, as aplicações são organizadas em frotas de containers, que precisam de acesso a segredos para se comunicar com outros sistemas e executar as funções pretendidas.

As duas principais maneiras de gerenciar segredos no Kubernetes são como variáveis de ambiente e montagens de volume.

  • Com variáveis de ambiente, os pares de chave-valor do segredo são injetados diretamente no container como variáveis de ambiente.
  • Com montagens de volume, o segredo é montado como um conjunto de arquivos no sistema de arquivos do container. O código da aplicação lê os dados do segredo desses arquivos.

As montagens de volume oferecem várias vantagens de segurança e são a abordagem recomendada para o Red Hat OpenShift. O modelo de segurança do Red Hat OpenShift oferece uma base de proteção para variáveis de ambiente, mas usar as montagens de volume por padrão ajuda a manter os segredos o mais seguros possível.

Os Kubernetes Secrets são uma ideia relacionada que usa objetos para separar dados confidenciais do código de uma aplicação, assim os segredos não são expostos no próprio código. Isso se alinha às práticas de arquitetura de segurança no GitOps.

Leia mais sobre segredos no Red Hat OpenShift

Por que confiar na Red Hat para sua abordagem de segurança?

A Red Hat aplica os princípios de segurança open source para proteger comunidades de clientes, colaboradores e parceiros contra ameaças digitais. Isso inclui suporte ao gerenciamento de segredos integrado nas soluções, além de integrações com outras soluções de gerenciamento de segredos. 

O Red Hat Enterprise Linux® oferece uma base para gerenciamento centralizado de identidades, autenticação e autorização em ambientes altamente dinâmicos e escaláveis.

O Red Hat OpenShift oferece controles de segurança integrados para o desenvolvimento de aplicações baseadas em containers, inclusive estratégias de gerenciamento de segredos que se alinham à abordagem DevOps.

O Red Hat Ansible Automation Platform pode ajudar a definir uma automação centralizada de gerenciamento de segredos ao lado de integrações com repositórios de segredos comuns.

Blog da Red Hat

Tudo relacionado à Red Hat: soluções, treinamentos e certificações Red Hat, casos de sucesso de clientes, novidades dos nossos parceiros e notícias sobre projetos das comunidades open source.

Teste as soluções Red Hat gratuitamente

Experimente as soluções Red Hat: ganhe experiência prática, prepare-se para exames de certificação e avalie a viabilidade das soluções para sua empresa em um ambiente real e sem gastar nada.
Leia mais

Leia mais

O que é SOAR? | Security Orchestration Automation and Response

SOAR (orquestração, automação e resposta de segurança) se refere a três importantes recursos de software usados para proteger sistemas de TI contra ameaças de segurança.

O que é uma ameaça interna?

Uma ameaça interna é o vazamento ou uso indevido de dados que, se divulgados acidentalmente ou propositalmente, podem ser usados de maneira mal-intencionada ou vistos por indivíduos que não deveriam ter acesso legítimo a eles.

O que é criptografia pós-quântica?

Conheça a abordagem da Red Hat para criptografia pós-quântica, isto é, criptografia baseada em algoritmos capazes de resistir a ataques de computadores quânticos.

Segurança: conteúdo adicional

Conteúdo relacionado

Artigos relacionados