Надежный защитник: как система управления секретами предотвращает утечки
В разгар пандемии при экстренном переходе на удаленную работу перед руководителями компаний встал вопрос: как контролировать учетные данные и безопасность корпоративной информации? Спустя два года эта проблема всё еще актуальна.
В условиях массовой удаленной работы, постоянного ускорения и усложнения разработки, внедрения микросервисных архитектур, а также применения CI/CD растет количество секретных данных и участников обмена ими. Вследствие этого управление парольной информацией усложняется, а защищенность — снижается.
Как утекают критичные данные?
Часто сотрудники обсуждают рабочие вопросы в мессенджерах, в том числе отправляют друг другу секреты и конфиденциальную информацию. Под секретами понимаются логины, пароли, SSH-ключи, токены, сертификаты, ключи API. Если человек ошибется окном чата, потеряет устройство или его гаджет окажется скомпрометированным, данные могут попасть в руки злоумышленников. Правильнее будет заранее обсудить с сотрудниками и ИТ-командой вопрос безопасности, особенно если они используют в работе собственные устройства.
Если в организации после изменения команды не обновляются пароли, увольнение сотрудника может стать причиной незаконной передачи конфиденциальной информации. Возникает угроза, что ушедший специалист использует сервисы компании и базы данных для личных целей, а также раскроет информацию конкурентам.
Иногда конфиденциальные данные утекают на этапе разработки решений. Например, из-за хранения паролей в репозиториях и коде, реверс-инжиниринга или случайной публикации во время сборки проекта.
Влияние инцидентов на компанию
Последствия утечки конфиденциальной информации могут быть весьма серьезными для бизнес-процессов и имиджа организации. Минимальный риск в таком случае — неправомерная передача номеров телефонов и адресов электронной почты сотрудников. Злоумышленники могут воспользоваться персональными сведениями в преступных целях, а конкуренты — переманить ценных работников.
Еще одним следствием неправомерного использования паролей может стать утечка персональных данных клиентов. Подобные инциденты негативно сказываются на репутации бизнеса и влекут финансовые потери.
Чтобы предотвратить такие ситуации, необходимо использовать программы автоматизированного контроля секретов, то есть паролей, логинов, токенов и сертификатов. Они обеспечивают надежное хранение и централизованный мониторинг данных, поэтому исключают возможность неправомерного использования и передачи информации посторонним.
В кризисных ситуациях такой инструмент особенно актуален. Наша разработка «Центр управления пользователями v2.0. Secret Management» создана специально для компаний, желающих перейти на отечественное ПО на базе открытого исходного кода. Это решение поможет безопасно управлять паролями и конфигурационными данными, а также избежать рисков и повысить защищенность бизнеса.
Главное преимущество нашей разработки — безопасность. Алгоритмы шифрования помогают надежно хранить данные компании, а также сокращают риски распространения паролей. Когда работник увольняется, решение предупреждает администраторов о возможной угрозе и необходимости сменить код. Доступ к конфиденциальной информации для покинувшего команду сотрудника закрывается.
Кроме того, «Центр управления пользователями v2.0. Secret Management» дает возможность быстро генерировать надежные пароли и проводить мониторинг, а также автоматически добавляет новых участников по запросу администратора. Для доступа ко всем паролям необходимо знать мастер-ключ, открывающий хранилище со всеми учетными данными.
Какие бывают инфраструктурные системы управления секретами?
Программы управления секретами можно разбить на три группы: открытое ПО, зарубежные и отечественные энтерпрайз-решения. Разделение обусловлено требованиями региональных регуляторов в области импортозамещения. Согласно их рекомендациям, необходимо использовать решения из единого реестра российских программ. ПО также должно соответствовать дополнительным требованиям Постановления Правительства РФ от 23.03.2017 N 325.
Вопрос о переходе на отечественные продукты стал особенно актуален после ухода крупных зарубежных вендоров ИТ-решений с российского рынка. Безопасность конфиденциальной информации требует непрерывной работы и исключения рисков блокировки сервисов.
Отечественные решения в области системы мониторинга и управления обеспечивают надежную защиту, а также соответствуют последним тенденциям в сфере администрирования секретов. Они основываются на языке программирования Golang и Ansible — Open Source для удаленного управления конфигурациями. В них используется микросервисная архитектура, что соответствует CI/CD — непрерывной интеграции и поставке решений.
На что обратить внимание при выборе менеджера паролей?
Система управления секретами должна позволять безопасно создавать коды доступа и контролировать их, а также давать возможность обмениваться данными и удалять их.
Хорошо, если инструмент поддерживает работу в высоконагруженном режиме с возможностью вертикального и горизонтального масштабирования, подстраивается под потребности организации, а также интегрируется с субъектами аутентификации для передачи паролей и механизмами аутентификации для ротации. Важно, чтобы инструмент обеспечивал взаимодействие всех типов приложений — от классических до микросервисных, в контейнерах и оркестраторах.
* * *
Использование технологий управления секретами — необходимая составляющая кибербезопасности компании. Подобные системы помогают предотвращать утечки конфиденциальной информации, а вместе с ними — репутационные и финансовые риски организации. В системе управления секретами можно безопасно сохранять все ключи от сервисов, а также отслеживать доступы к критичным сведениям.
Опубликовано 12.08.2022
