Kurumsal Sır Yönetimi’nin neden sağlam bir insan olmayan kimlik yönetişim modeli oluşturmanın önemli bir bileşeni olduğunu ve tüm kuruluşu güvence altına almak için gerekli olduğunu öğrenin.
Kimlik ve Erişim Yönetimi (IAM) düşündüğünüzde, geleneksel olarak insanları düşünürsünüz. Onlarca yıldır insan erişim yönetimini yönetiyoruz ve bu konuda giderek daha iyi oluyoruz. Yeni bir çalışanı veya kullanıcıya dahil etme, ihtiyaç duydukları sistemlere erişim sağlama ve nihayetinde güvenli bir şekilde kapanma döngüsü, iyi kurulmuş en iyi uygulamalara sahiptir. IAM takım satıcıları bu yönetişim politikalarını iyi bir nedenden dolayı yeniden güçlendiriyorlar: çalışıyorlar.
Bugün, işletme yeni bir çağda. İnsan olmayan kimlikler (NHIS) insan kimliklerinden en az 50 ila bir orandan fazla. Bazı tahminler bunu 2025’te 100’e kadar yükseltiyor. NHIS hakkında bir şeyler yapmamız gerektiği konusunda fikir birliği bulmak kolaydır, çünkü daha fazla ihlal ve zayıf makine kimliği yönetiminden kaynaklanan sızıntıların sonuçları, daha iyi bir yol bulmamız gerektiği anlamına gelir. Pek çok liderin kendilerine sorduğu soru şudur: “İyi bir insan olmayan kimlik yönetişim modeli neye benziyor ve organizasyonlarımızda nasıl geziniyoruz?”
Sır yönetiminin üst üste binen yolu
NHI yönetiminin bir süredir incelenen bir unsur var, kimlik bilgisi yönetimi. Tüm NHI’lerin kimlik doğrulaması için bir yola ihtiyacı olduğu ve bu sırları depolamak ve kullanmak için yönetişim kesinlikle daha büyük NHI hikayesinin bir parçasıdır. Şirketlerin sırlarını nasıl geliştirdiğine dair araştırma, güvenlik uygulamaları sırlar yönetimi olgunluk modelini üretti.
Model, herhangi bir sır güvenliğinin bulunmadığı Seviye 0’dan, Kurumsal Vault teknolojisinin standart haline geldiği Seviye 3’e geçiş yapan kuruluşları ve SDLC’nin her seviyesinde, geliştiricinin makinesi de dahil olmak üzere SDLC’nin her seviyesinde otomatikleştirildiği kuruluşları açıklar. Seviye 4’teki en olgun kuruluşlar, hizmetleri ve verileri için alternatif kimlik doğrulama ve yetkilendirme stratejilerine geçerek kimlik bilgilerini mümkün olduğunca kaldırmak için çalışmaktır.
Sırlar yönetimi olgunluk seviyesi 0
Yolculuklarının başlangıcındaki şirketler, sırlardaki kontrolleri sürekli olarak uygulamıyorlar. Eğer yaparlarsa, basit metin içinde aktarılan basit env dosyalarıydı. Çoğu zaman, düz metin kimlik bilgileri kodun kendisine sabitlenir.
Sırlar Yönetimi Olgunluk Seviyesi 1-2
Şirketler olgunlaştıkça, sır yönetimi daha çok tanınmış bir sorun haline gelir. Gizli yönetim araçlarının, özellikle AWS, Azure veya Google Cloud gibi bulut platformlarında yerleşik olanların daha geniş bir şekilde benimsenmesini görüyoruz. Bir şirket her şey için aynı bulut sağlayıcısında standartlaştığı sürece, bunlar sırlarınızı güvenli bir yere koymak için iyi çalışır, dinlenmede şifreli ve gerektiğinde programlı olarak adreslenebilir. Kod veya çevre sistemlerde sürekli olarak sabit kodlanmış kimlik bilgilerini bulmak için gizli keşif araçlarının benimsenmesi yaygın hale gelmiştir ve sırların ilk etapta sızmasını önlemek için geliştirici araçları tanıtılmıştır. Tüm rotasyon ve iyileştirme çabaları hala manuel ve reaktiftir.
Sırlar Yönetimi Olgunluk Seviyesi 2-3
Hashicorp kasası, Cyberark tarafından çağrışan ve Akeyless gibi sırları düzgün bir şekilde saklamak ve yönetmek için platformlar arası merkezi tonoz sistemleri bu aşamada benimsenir. Otomasyon, özellikle kimlik bilgisi rotasyonu etrafında ana hedeflerden biri haline gelir. Geliştiriciler de erken ve iyileştirme süreci boyunca yer alırlar.
Sırlar Yönetimi Vade Seviye 4
En olgun kuruluşlar aslında kimlik bilgilerini mümkün olduğunca kaldırmaya çalışıyor. Ekipler, hizmetleri ve verileri için alternatif kimlik doğrulama ve yetkilendirme stratejilerine geçer. Bu şirketler, yalnızca tüm kuruluştaki koordineli ekipler tarafından kaldırılan sofistike bir araç zinciri ile mümkün olabilen hızlı, muhtemelen otomatik, iyileştirme politikaları oluşturmaktadır.
İnsan olmayan kimlik yönetişim olgunluğu
Sırlar yönetimi olgunluğu bize sağlam bir temel model verir ve daha ciddi güvenlik kontrol kaygılarından birini ele alırken, NHI yönetişiminin tüm hikayesi değildir. Sadece sırların depolanması ve alınmasından daha geniş düşünmemiz ve NHI’larımızın tüm yaşam döngüsü, mülkiyeti ve risk yönetimi hakkında düşünmemiz gerekecek. Ama bir yerden başlamalıyız
Herhangi bir tehdit modelleme veya düzenlemenin ilk adımı, sahip olduğunuzu anlamanın aldatıcı basit bir eylemidir. Ne zaman tanıtıldıklarını takip ettiniz mi? Hepsini listeleyen bir gösterge tablosu veya elektronik tablo var mı? Buna yaklaşmanın birçok yolu olsa da, bir yöntem, hangi sırların var olduğunu doğru bir şekilde eşlemek ve nasıl kullanıldıklarını anlamak anlamına gelir.
Tüm sırlarınız keşfedildikten sonra, ideal olarak bir işletme sırları kasasında, onları takip etmek için merkezi bir gözlemlenebilir sistemi uygulama zamanı. İyi bir Sırlar Yönetim Platformu, bir NHI’nin kimlik bilgilerinin ne zaman oluşturulduğunu ve ne zaman döndürüldüğünü izleyebilir. NHI’nın hangi izinleri aldığını bildirebilirler. Bir kimlik bilgisinin ne zaman kullanıldığını ve neye bağlandığını gösterebilirler. Nihayetinde, bir anahtar hizmetten çıkarıldığında denetlenmenize yardımcı olabilirler.
Ölçekli yönetişim için daha geniş politikalar düşünmeden önce bu verilere sahip olmak çok önemlidir.
Mülkiyet anahtardır
NHI’larınız haritalandığında ve anlaşıldıktan sonra, göz korkutucu risk sahipliği sorunu ele almalıyız. Organizasyonda NHI’lerin sahibi olması gereken çok tartışma konusudur. Başlangıçta makine kimliğini ekosisteme tanıtan geliştirici mi? Sırları yapılar ve dağıtımlar için kullanması gereken DevOps veya Platform ekibi mi? İhlaller ve olay tepkisi için kancada olan güvenlik ekibi mi?
Bugün, teknoloji topluluğunda buna kimin sahip olması gerektiği konusunda net bir fikir birliği yok. Her şirket bu bağımsız olarak gezinir ve kendi sonuçlarına sahiptir. Sahip olma sorumluluğunu kim alırsa olsunlar, ancak sistemlerine doğru veriler ve içgörülerle silahlandırılırlarsa başarılı olurlar.
Nhis’i hesaba katmak için gelişen
En büyük ve en olgun kuruluş, genel IAM manzarasının bir parçası olarak NHI’ları açıklamaya başladı. Bu eğilim endüstrinin geri kalanı ve hızlandırılmış bir hızda devam edecektir. Hızla ortaya çıkan NHI takım pazarı, açık ve aklı başında bir yol arayan daha fazla lidere tepki veriyor.
Tüm NHI’larınızın küresel yaşam döngüsü yönetimini anlamak, kuruluşlar arasında çok fazla iş ve uyum sağlayacak bir şeydir. Bu, güvenlik, BT veya DevOps’ın tüm kuruluştan tek başına veya satın almadan başa çıkabileceği her şeyin ötesine geçer.
__
Yazar Biyografisi
Gitguardian Güvenlik Avukatı – Dwayne, 2016’dan beri geliştirici ilişkileri uzmanı olarak çalışmaktadır ve 2005’ten beri daha geniş teknoloji topluluğuna katılmaktadır. Bilgilerini paylaşmayı seviyor.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!