A medida que las identidades de las máquinas se expanden en los entornos de nube, las empresas registran un aumento espectacular de la productividad al eliminar las credenciales estáticas. Y solo los sistemas heredados siguen siendo el eslabón débil.

Durante décadas, las organizaciones han confiado en secretos estáticos, como claves de API, contraseñas y tokens, como identificadores únicos para las cargas de trabajo. Si bien este enfoque proporciona una trazabilidad clara, crea lo que los investigadores de seguridad describen como una «pesadilla operativa» debido a la gestión manual del ciclo de vida, los programas de rotación y el riesgo constante de filtración de credenciales.

Este desafío ha llevado tradicionalmente a las organizaciones a optar por soluciones centralizadas de administración de secretos, como HashiCorp Vault o CyberArk, que proporcionan intermediarios universales de secretos en todas las plataformas. Sin embargo, estos enfoques perpetúan el problema fundamental: la proliferación de secretos estáticos que requieren una gestión y una rotación cuidadosas.

«Tener una carga de trabajo en Azure que necesite leer datos de AWS S3 no es lo ideal desde el punto de vista de la seguridad», explica un ingeniero de DevOps que administra un entorno multinube. «La complejidad de la autenticación y la autorización entre nubes dificulta la configuración segura, especialmente si optamos por configurar simplemente la carga de trabajo de Azure con las claves de acceso de AWS».

El argumento empresarial a favor del cambio

Los estudios de casos empresariales documentan que las organizaciones implementación de identidades administradas denunciar un Reducción del 95% en el tiempo dedicado a administrar las credenciales por componente de la aplicación, junto con una reducción del 75% en el tiempo dedicado a aprender los mecanismos de autenticación específicos de la plataforma, lo que se traduce en cientos de horas ahorradas al año.

Pero, ¿cómo abordar la transición y qué nos impide eliminar por completo los secretos estáticos?

Soluciones nativas de la plataforma

Las identidades administradas representan un cambio de paradigma del modelo tradicional de «lo que tienes» a un enfoque de «quién eres». En lugar de incorporar credenciales estáticas en las aplicaciones, las plataformas modernas ahora ofrecen servicios de identidad que emiten credenciales efímeras que se rotan automáticamente para las cargas de trabajo autenticadas.

La transformación abarca a los principales proveedores de nube:

  • Amazon Web Services fue pionera en el aprovisionamiento automatizado de credenciales mediante Funciones de IAM , donde las aplicaciones reciben automáticamente permisos de acceso temporales sin almacenar claves estáticas
  • Ofertas de Microsoft Azure Identidades administradas que permiten a las aplicaciones autenticarse en servicios como Key Vault y Storage sin que los desarrolladores tengan que gestionar las cadenas de conexión o las contraseñas
  • Google Cloud Platform proporciona a las cuentas de servicio funciones entre nubes, lo que permite que las aplicaciones se autentiquen sin problemas en diferentes entornos de nube.
  • GitHub y GitLab han introducido la autenticación automatizada para las canalizaciones de desarrollo, lo que elimina la necesidad de almacenar las credenciales de acceso a la nube en las herramientas de desarrollo

La realidad híbrida

Sin embargo, la realidad es más matizada. Los expertos en seguridad enfatizan que las identidades administradas no resuelven todos los desafíos de autenticación. Las API de terceros siguen necesitando claves de API, los sistemas antiguos no suelen poder integrarse con los proveedores de identidad modernos y la autenticación entre organizaciones puede seguir necesitando compartir secretos.

«El uso de un administrador de secretos mejora drásticamente la postura de seguridad de los sistemas que se basan en secretos compartidos, pero el uso intensivo perpetúa el uso de secretos compartidos en lugar de utilizar identidades sólidas», según los investigadores de seguridad de identidades. El objetivo no es eliminar por completo a los administradores de secretos, sino reducir drásticamente su alcance.

Las organizaciones inteligentes están reduciendo estratégicamente su huella secreta entre un 70 y un 80% mediante identidades administradas, y luego utilizan una sólida administración de secretos para los casos de uso restantes, creando arquitecturas resilientes que aprovechan lo mejor de ambos mundos.

El desafío del descubrimiento de identidades no humanas

La mayoría de las organizaciones no tienen visibilidad de su panorama actual de credenciales. Los equipos de TI suelen descubrir cientos o miles de claves de API, contraseñas y tokens de acceso repartidos por toda su infraestructura, con patrones de propiedad y uso poco claros.

«No puedes reemplazar lo que no puedes ver», explica Gaetan Ferry, investigador de seguridad de GitGuardian. «Antes de implementar sistemas de identidad modernos, las organizaciones deben entender exactamente qué credenciales existen y cómo se utilizan».

La plataforma de seguridad NHI (identidad no humana) de GitGuardian aborda este desafío de descubrimiento al proporcionar una visibilidad completa de los paisajes secretos existentes antes de la implementación de la identidad gestionada.

La plataforma descubre claves de API, contraseñas e identidades de máquinas ocultas en infraestructuras enteras, lo que permite a las organizaciones:

  • Asigne las dependencias entre los servicios y las credenciales
  • Identifique a los candidatos a la migración listos para la transformación de identidad gestionada
  • Evalúe los riesgos asociados con el uso secreto actual
  • Planifique migraciones estratégicas en lugar de transformaciones ciegas
¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.