مدیریت اسرار نیاز به کنترل امنیتی گسترده تر و عمیق تر از مدیریت رمز عبور سنتی شرکت دارد. برای مدیریت امنیت سیستم ها و داده ها ، به یک فرآیند هماهنگ برای مدیریت انواع اسرار به روشی متمرکز نیاز دارد.
مدیریت اسرار تمام اسرار را ایمن نگه می دارد ، از پخش مخفی جلوگیری می کند و تضمین می کند که سیستم ها می توانند فوراً برای انجام کارهای خودکار متصل شوند. به طور خاص ، مدیریت اسرار شما را قادر می سازد تا نحوه ذخیره و انتقال اسرار را کنترل کنید ، در صورت استفاده از آنها ، چه میزان چرخانده می شوند و به راحتی ابطال می شوند. با مدیریت مخفی ، استفاده از اسرار خود را در برابر شما دشوارتر می کنید.
در ادامه بخوانید تا بدانید که اسرار و اسرار مدیریت چیست ، آنها چه کاری انجام می دهند ، چرا آنها مهم هستند و چگونه می توانید این دانش را برای محافظت از سازمان خود به کار بگیرید.
راز چیست؟
به عبارت ساده ، یک راز یک اعتبار احراز هویت دیجیتال است.
هنگامی که ما برای اولین بار سرور مخفی را بیش از یک دهه پیش راه اندازی کردیم ، Delineea کلمه "راز" را انتخاب کرد تا در مورد انواع اعتبار دیجیتالی ، نه فقط رمزهای عبور ، اعمال شود."راز" از آن زمان به یک اصطلاح استاندارد تبدیل شده است که توسط همه افراد در صنعت PAM استفاده می شود.
شناخته شده ترین نمونه راز یک رمز عبور است
رازها به صورت جداگانه مجموعه ای از اطلاعات حساس نامگذاری شده و طیف گسترده ای از داده های ایمن را برطرف می کنند. انواع زیادی اسرار وجود دارد ، از جمله رمزهای عبور کاربر ، رمزهای عبور برنامه و بانک اطلاعاتی ، کلیدهای رمزگذاری خودکار ، کلیدهای رمزگذاری خصوصی ، کلیدهای API ، کلیدهای برنامه ، کلیدهای SSH ، نشانه های مجوز و گواهینامه های خصوصی (به عنوان مثال TLS ، SSL). هر نوع راز به خوبی برای استفاده خاص ، چه ذخیره سازی اطلاعات در حالت استراحت ، یا در ترانزیت ، یا دسترسی به منابع IT حساس و مهم ، مناسب است.
شناخته شده ترین نمونه راز ، رمز عبور است که برای ورود به برنامه ، وب سایت یا نقطه پایانی استفاده می شود. اما این نوع رازها رایج ترین نیستند و همچنین سخت ترین رازها برای تأمین امنیت نیستند.
اسرار مورد استفاده غیر انسانی همه گیر و در عین حال نامرئی است ، برای امنیت سایبری که هنوز کم ارزش است ضروری است.
برنامه های مدرن ، چه در ابر و چه در پیش فرض ، نیاز به انواع اسرار دیجیتال را تسریع کرده اند. اسرار برنامه به کاربردی به صورت نمایی در حال افزایش است. اینها برای رمزگذاری داده ها هنگام انتقال بین برنامه ها استفاده می شود - مانند ارسال اطلاعات از صفحه وب ، ایجاد یک درخواست ایمن به API ، دسترسی به یک پایگاه داده ابری یا موارد بی شماری دیگر که شرکت های مدرن در هنگام پیگیری تحول دیجیتال با آنها روبرو می شوند و اتوماسیون را افزایش می دهند.
با وجود انواع زیادی از رازهای مورد استفاده در بسیاری از زمینه ها ، به راحتی می توان آنها را از دست داد یا آنها را به طور مداوم در سراسر شرکت اعمال کرد. این جایی است که مدیریت مخفی وارد می شود.
مدیریت اسرار چیست؟
مدیریت اسرار کنترل های امنیتی را در لایه های پرخطر زیرساخت های یک سازمان مدرن قرار می دهد: ابرها ، کد ، داده ها و دستگاه ها.
Cloud: در سال گذشته ، 77 ٪ از نقض ابر ، اعتبار به خطر افتاده را درگیر می کند ، همانطور که در گزارش نقض داده های Verizon در سال 2020 گزارش شده است. مدیریت اسرار خطاب به سناریوهای SaaS ، LAAS ، PAAS ، خصوصی و ترکیبی چند ابر.
کد: شیوه های توسعه سریع نیاز به شیوه های سریع PAM دارد. مدیریت اسرار ، تیم های DEV را در صورت تقاضا به برنامه ها و بانکهای اطلاعاتی برای اجرای تغییرات بدون به خطر انداختن امنیت یا اعتبار تولید فراهم می کند. این نیاز به جاسازی اسرار در کد یا مخازن خارجی مانند GitHub را از بین می برد.
داده ها: مدیریت اسرار از دسترسی و استفاده از داده های حساس ، داده های شخصی و مالکیت معنوی که در بانکهای اطلاعاتی و برنامه های ذخیره شده و به اشتراک گذاشته می شود ، محافظت می کند.
دستگاه ها: طبق گفته SANS ، 85 ٪ از حملات سایبری از طریق نقاط پایانی به خطر افتاده وارد می شوند. مدیریت اسرار از اسرار استفاده شده برای دسترسی به دستگاه هایی مانند ایستگاه های کاری کاربر ، لپ تاپ و سرورها محافظت می کند.
چرخه عمر اسرار
بیشتر مردم می دانند که برای ماندن از نظر جسمی و روحی ، چه کاری باید انجام دهند ، اما گاهی اوقات گوشه ها را قطع می کنند یا مراحل را به طور کامل می پرند و سلامت طولانی مدت آنها رنج می برد.
همین مورد را می توان در مورد چرخه حیات اسرار نیز گفت.
پس از ایجاد راز ، همیشه به درستی مدیریت نمی شود. ممکن است هرگز چرخانده نشود و ممکن است ابطال آن بسیار دشوار باشد. بیشتر رازها سن خوبی ندارند.
مدیریت اسرار فرایند مدیریت اسرار به صورت ایمن و متمرکز ، در طول چرخه حیات اسرار است.
یک راز سالم باید از چرخه عمر مانند این پیروی کند:
- نسل/ایجاد: راز ایجاد می شود ، یا به صورت دستی توسط کاربر یا به صورت خودکار در صورت نیاز. رمزهای عبور اغلب ، اما نه همیشه ، باید مطابق با سیاستی که حاکم بر آرایش و استفاده آنها است مطابقت داشته باشد.(اطلاعات بیشتر در مورد زیر.) تولید خودکار اعتبار یکی از نقاط ضعف اصلی مدیریت مخفی را از بین می برد: اعتبارنامه های تولید شده توسط انسان نسبت به موارد تولید شده توسط رایانه آسان تر هستند.
- چرخش: پس از استفاده ، یک راز باید در یک برنامه منظم تغییر یابد. این اغلب با استانداردهای مختلف مشخص و مورد نیاز است ، مانند PCI DSS که حداکثر چرخه چرخش 90 روزه را ملزم می کند. این می تواند به شکل بازسازی خودکار راز جدید در یک برنامه یا درخواست ایجاد دستی باشد. اگر یک راز بی نظیر یا منقضی شده باشد ، دسترسی تا به روزرسانی رد می شود.
- ابطال: امکان حذف اعتبار از یک کاربر یا برنامه ، بنابراین انکار دسترسی به یک منبع ، آنقدر مهم است که در بسیاری از استانداردهای سیاست های امنیتی مانند NIST 800-53 تنظیم شده است. هنگامی که یک کارمند از یک شرکت خارج می شود یا رفتار غیر عادی را ترک می کند ، می توان از ابطال مخفی استفاده کرد. هرس اسرار بی نیاز ، منقضی ، نقض یا ضعیف یک گام اساسی در بهداشت مخفی خوب است.
برای مدیریت اسرار در طول چرخه عمر خود ، هر سیستم PAM که انتخاب می کنید باید در صورت لزوم بتواند اسرار را ذخیره و خدمت کند ، و همچنین از انتهای تا انتها ، دید و کنترل مبتنی بر سیاست را در اختیار شما قرار دهد.
چرا مدیریت اسرار مهم است؟
مدیریت اسرار شما را قادر می سازد تا اسرار ایمن را ذخیره ، انتقال و حسابرسی کنید. این امر دخالت انسان در مدیریت اسرار برای کاهش نقاط احتمالی شکست را از بین می برد یا حداقل به حداقل می رساند. این رویکرد سیستماتیک برای جلوگیری از دسترسی غیرمجاز به داده ها و سیستم های حساس به شما کمک می کند تا از نقض داده ها ، داده ها و سرقت هویت یا دستکاری جلوگیری کنید.
یک سیاست اسرار قوی به کاهش این چالش های مشترک کمک می کند:
- به اشتراک گذاری اسرار با سایر کاربران
- استفاده مجدد از اسرار ، چه از نظر مصلحت و چه به دلیل اینکه رمزهای عبور به سختی کد شده یا در برنامه ها و سیستم ها تعبیه شده اند
- ذخیره مخفی ضعیف ، مانند ذخیره اسرار بدون رمزگذاری یا در متن ساده
- بدون چرخش مخفی ، که می تواند یک عارضه جانبی از اسرار سخت رمزگذاری شده یا تعبیه شده باشد
- بدون ابطال مخفی
مدیریت اسرار از پراکندگی مخفی جلوگیری می کند
با افزایش حجم ، تنوع و پیچیدگی سیستم های IT شما ، اجرای و مدیریت یک سیاست مداوم در بین همه آنها دشوار است و می دانید اسرار کجا هستند و چگونه از آنها استفاده می شود. Secrets Sprawl یک وضعیت موذیانه است که در آن یک سازمان اعتبار خود را از دست می دهد و به یک وصله سیستم های مدیریتی تسلیم می شود ، هر کدام دارای سیاست مدیریت خود هستند. روش های زیادی برای مدیریت اسرار وجود دارد ، و هنگامی که هر برنامه ، ارائه دهنده ابر یا بخش سازمان الگوی امنیتی خاص خود را دارد ، این سازمان به طور کلی دید را از دست می دهد.
سیاست های اسرار باید به صورت مرکزی تنظیم و مدیریت شود تا اطمینان حاصل شود که آنها به طور مداوم در تعریف قوانین مربوط به نحوه رسیدگی به اسرار در هر مرحله از چرخه عمر خود تعیین می شوند.
بهترین شیوه های مدیریت اسرار
این اصول اصلی یک سیستم مدیریت اسرار خوب است:
- اسرار را کشف کنید. وقت بگذارید تا تمام اسرار مورد استفاده در سازمان خود را کشف کنید. سپس ، آنها را ایمن کنید.
- یک سیاست مدیریت مخفی واحد و جامع ایجاد کنید. این خط مشی باید ضمن محدود کردن استفاده از اسرار پیش فرض یا سخت کد ، قوانین سختگیرانه پیرامون ساختار اسرار (حداقل طول ، پیچیدگی ، استفاده از شخصیت های خاص ، رمزهای ممنوعه ، استفاده مجدد ، مدت زمان) را تعیین کند.
- فرایند مدیریت مخفی را خودکار کنید. عنصر انسانی را از مخلوط جدا کنید. رازهای سخت کدگذاری شده و تعبیه شده را از بین ببرید. برای ایجاد ، مدیریت ، توزیع و حفظ اسرار به سیستم ها و نه مردم اعتماد کنید.
- سیاست های مخفی را اجرا کنید. شما وقت خود را برای ایجاد یک سیاست گرفته اید ، بنابراین آن را اجرا کنید. نیاز دارد که برنامه ها و کاربران با قوانین مربوط به قدرت مخفی ، چرخش ، استفاده مجدد و ابطال مطابقت داشته باشند. اعتماد نکنیدهمیشه تأیید کنید. آن را تنظیم نکنید و آن را فراموش کنید. نظارت بر جلسه را تنظیم کنید و به طور مرتب گزارش های حسابرسی را مرور کنید.
- داده های جداگانه از اسرار. از ماهیت توزیع شده شبکه های امروز به نفع خود استفاده کنید. به جای تمرکز هر دو مدیریت مخفی و داده های حساس در همان مکان ، آنها را از هم جدا کنید.
چگونه مدیریت اسرار توتیک می تواند کمک کند
PAM مدرن بدون توجه به اینکه در سیستم های برتر ، لایه های چند ابر و دستگاه ها-با تعبیه کنترل های امنیتی در لایه های با ریسک بالا ، هر شیء مخفی و ممتاز در شرکت را تأمین می کند:دستگاه ها
