Parola yöneticisi serimizin ikinci bölümü, API belirteçlerini, oturum açma kimlik bilgilerini ve daha fazlasını işlemek için işletme sınıfı teknolojiyi ele alıyor
Modern kuruluşlar düzinelerce (ve bazen yüzlerce) sunucu, hizmet, uygulama, API, konteyner ve diğer teknolojileri çalıştırır.
Kuruluşların bu kaynakları güvence altına almak için parolalar, şifreleme anahtarları, SSH (güvenli kabuk) anahtarları, API belirteçleri, sertifikalar ve daha fazlasını içeren sırları yönetmek için araçlara ihtiyacı vardır.
Sorun şu ki, bu kaynaklar genellikle şirket içi (on-prem) sunucular, bulut tabanlı hizmetler, sunucusuz uygulamalar ve kapsayıcı düzenleme araçları dahil olmak üzere birçok platforma yayılıyor ve bu da sırları verimli bir şekilde yönetmeyi çok zorlaştırıyor.
Bu makaleyi beğendiniz mi? Yeni bültenimize kaydolun – Daily Swig Seri Halinden Kaldırıldı
Bu, sık sık çalışanların yetkilendirmeyi yönetmek için düz metin dosyalarında sırları depolamak, GitHub havuzlarına yüklenen kaynak kodu dosyalarında sabit kodlama belirteçleri ve korumasız S3 klasörlerinde şifreleme anahtarlarını depolamak gibi geçici ve güvenli olmayan yöntemler kullanmasına yol açar.
Bu, ‘sırların yayılmasına’ (birçok yerde depolanan oturum açma bilgileri ve diğer kimlik bilgileri) neden olur ve bu uygulama, genellikle veri ihlallerinde katkıda bulunan bir faktördür.
Sırların yayılmasını önlemenin bir yolu, sırları yaşam döngüleri boyunca güvenli bir şekilde saklayan ve yöneten bir araç olan “sır yöneticisi” kullanmaktır. Gizli yöneticiler her türlü sırrı (şifreler, API belirteçleri, sertifikalar vb.) depolayabilir ve insanların, cihazların ve hizmetlerin bunlara nasıl erişeceğini kontrol edebilir.
Gizli dizi yöneticilerinde aranacak birkaç temel özellik vardır:
- Çeşitli BT yapılandırmaları için destek: İyi bir sır yöneticisi, bulut, çoklu bulut, kurum içi ve hibrit BT sistemlerini eşit derecede desteklemelidir.
- Çeşitli kimlik doğrulama protokolleri için destek: Parolaların yanı sıra çözüm, BT sisteminizin güvenlik omurgasını oluşturan sertifikaları, şifreleme anahtarlarını, API belirteçlerini ve diğer kimlik doğrulama sistemlerini desteklemelidir.
- Çeşitli kimlik doğrulama kuruluşları için destek: Teknoloji, rolleri, grupları vb. kullanarak organizasyon yapınıza dayalı olarak sırlara erişim politikanızı ayarlamanıza olanak sağlamalıdır.
- Farklı kullanıcı türleri için destek: Birçok BT sisteminin yalnızca insan erişimini değil, aynı zamanda makine ve hizmetlerin dijital kaynaklara nasıl erişeceğini de düzenlemesi gerekir.
- entegrasyon: Herhangi bir ürün veya hizmet, sırların depolanmasını ve alınmasını otomatikleştirmek için eklentiler, API’ler ve CLI’ler gibi çeşitli araçlar sağlamalıdır.
- Merkezi yönetim: Bir sır yönetimi kurulumu, kullanıcıların, hizmetlerin ve aygıtların kuruluş genelinde sırlara nasıl eriştiği konusunda gerçek zamanlı görünürlük ve kontrol sağlamalıdır.
İşte birkaç popüler sır yönetimi ürününün hızlı bir değerlendirmesi.
HashiCorp Kasası
HashiCorp Vault, parolaları, belirteçleri, şifreleme anahtarlarını, sertifikaları, API anahtarlarını ve diğer çeşitli sırları yönetmek ve güvenceye almak için popüler bir kurumsal çözümdür.
Vault, Active Directory, LDAP veya seçtiğiniz bulut platformu gibi ana kimlik sağlayıcınızla entegre olur. Teknoloji, genel ve özel bulutlar, veritabanları, mesajlaşma kuyrukları ve SSH uç noktaları dahil olmak üzere 100’den fazla farklı sistem için sırları yönetebilir.
Hashicorp Vault’un güçlü yanları arasında, dinamik olarak oluşturulmuş sırlara yönelik destek yer alır. Ürün ayrıca, farklı kaynaklara erişim üzerinde ayrıntılı kontrol ve yöneticilere bir şeyler ters gider gitmez izinleri iptal etme olanağı sağlar.
Vault, sırları almak için uygulamalara kolayca entegre edilen güçlü bir API’ye sahiptir, bu da geliştiricileri sabit kodlanmış parolalara ve belirteçlere güvenmekten caydırır.
Bununla birlikte, Hashicorp Vault’un faydaları ödün vermeden gelmez. Kullanıcı arayüzü sezgisel olmaktan uzaktır ve dik bir öğrenme eğrisine sahiptir. Çoğu işlevsellik, otomasyon için iyi ancak manuel kullanım için uygun olmayan bir CLI arayüzü aracılığıyla kontrol edilir.
HashiCorp Vault açık kaynaktır ve size onu kendiniz barındırma seçeneği sunar. Alternatif olarak, sır yöneticisinin bulutta barındırılan bir örneğini saatte 0,03 ABD Doları karşılığında kullanabilirsiniz.
- Artıları: Farklı bulut ve şirket içi teknoloji yığınları için geniş destek, dinamik gizli oluşturma, güçlü API desteği, açık kaynak
- Eksileri: Dik öğrenme eğrisi, zayıf kullanıcı arayüzü
CyberArk Büyüsü
CyberArk Conjur, bir kuruluş genelinde merkezi kimlik ve erişim yönetimi için bir sır yönetimi çözümüdür.
Conjur, parolalar, hizmet hesabı belirteçleri ve API belirteçleri dahil olmak üzere çeşitli gizli türleri destekler. Ayrıca GCP (Google Bulut Platformu), AWS ve Azure gibi popüler bulut altyapılarının yanı sıra çeşitli veritabanı türleri, CI/CD platformları ve kapsayıcı düzenleme araçlarıyla entegrasyonu destekler.
HashiCorp gibi Conjur da OAuth, LDAP ve diğer kimlik sağlayıcıları dahil olmak üzere mevcut kimlik doğrulama çözümleriyle entegrasyonu destekler.
Conjur, yöneticilerin kendi kaynaklarını ve kullanıcıları, rolleri, aygıtları, betikleri, hizmetleri ve sırlara erişmek isteyen diğer varlıkları tanımlayabildiği merkezi bir yönetim sistemine sahiptir. Ayrıca parola döndürme ve denetleme gibi kurallarla birlikte işletmenin sırlarını da tanımlayabilirler.
Uygulama yöneticileri ve geliştiriciler, Conjur’u kendi CI/CD’lerine, bulut uygulamalarına veya sır deposuna erişim izni vermek isteyen diğer kaynaklara entegre etmek için eklentileri ve API’leri kullanır.
Conjur açık kaynak kodludur ve uygulamayı kendiniz barındırabilirsiniz. HashiCorp gibi, Conjur’un dezavantajlarından biri de hem ilk kurulumun hem de devam eden yönetimin zorluğudur.
- Artıları: Çeşitli uygulamalar, bulut sağlayıcıları, konteyner düzenleme araçları vb. için çok yönlü destek; farklı entegrasyon türleri için eklentiler ve API’ler.
- Eksileri: Karmaşık kurulum ve yönetim
Parola yöneticisi güvenliği: Hangisi benim için doğru seçenek?
kurumsal şifre yöneticileri
Sır yöneticileri yararlı araçlar olsa da, daha küçük kuruluşlar veya karmaşık bir dijital ayak izi olmadan çalışan diğer kuruluşlar için aşırıya kaçabilirler. Sır yöneticileri için yüksek teknik giriş engeli göz önüne alındığında, özel bir BT ekibi olmayan şirketler bunları kullanacak donanıma sahip olmayabilir.
Bu işletmeler için bir parola yöneticisi daha iyi bir seçenek olabilir. Parola yöneticileri yalnızca parolaları güvenli bir şekilde depolamak, bunlara erişmek ve paylaşmak için kullanılır. Gizli bilgi yöneticilerinin entegrasyon, programlama ve otomasyon özelliklerinden yoksundurlar, ancak bir kuruluş genelinde kimlik bilgilerini güvence altına almak için harika araçlar olabilirler.
günlük yudum önceki bir makalede kişisel ve aile odaklı parola yöneticilerini inceledi. Bir kişisel şifre yöneticisinin özelliklerine ek olarak, bir iş şifre yöneticisi aşağıdakileri sağlamalıdır:
- Merkezi yönetim: Yönetici, çalışan şifre sağlığı, kullanımı, paylaşımı vb. hakkında raporlar alabilmelidir.
- Kimlik sağlayıcılarla entegrasyon: İşletmeler, parola yöneticilerinde oturum açmak için mevcut kimlik sağlayıcılarını (AD, Azure, Okta vb.) kullanabilmelidir.
İşte göz önünde bulundurmaya değer iki popüler iş odaklı şifre yöneticisi.
1Şifre
1Password, macOS, Windows, Linux, Android ve iOS dahil olmak üzere tüm büyük platformlarda desteklenen popüler bir parola yöneticisidir. 1Password ayrıca, web sitelerinde oturum açma bilgilerini otomatik olarak doldurmak ve yeni kimlik bilgilerini kasalarında depolamak için bir Chrome uzantısına sahiptir.
1Password kullanıcıları, şifreleri, kredi kartı bilgilerini, API belirteçlerini, kripto cüzdan kurtarma tohumlarını ve diğer hassas belgeleri veya verileri depolamak için birden fazla kasa oluşturabilir. 1Password ayrıca sırları diğer kullanıcılarla paylaşmanıza olanak tanır ve son kullanma tarihleri, sınırlı görünümler ve paylaşılan bir bağlantıya erişebilen belirli e-posta adresleri aracılığıyla parola paylaşımını sınırlayabilir.
Bir Gözetleme Kulesi özelliği, yeniden kullanılan parolaları, güvenlik açığı bulunan parolaları ve potansiyel olarak güvenliği ihlal edilmiş hesapları izler.
İşletme sürümü, yöneticilere bir kuruluş genelinde parola güvenliğinin yakınlaştırılmış bir görünümünü sağlar. Ayrıca, yöneticilerin izinleri, grupları, rolleri ve kasa erişimini geniş ölçekte yapılandırmasına olanak tanıyan ayrıntılı erişim özellikleri sağlar.
Önceden, 1Password çoklu oturum açmayı (SSO) desteklemiyordu. Ancak yakın zamanda Okta üzerinden SSO oturumu için beta desteği ekledi, yakında Azure ve Duo eklenecek. Satıcı ayrıca Azure AD, Google Workspace, Okta, OneLogin ve Slack ile entegrasyon ekliyor.
1Password Business, kullanıcı başına aylık 7,99 ABD dolarıdır. Bonus olarak her 1Password Business kullanıcısı, beş aile üyesiyle paylaşabilecekleri ücretsiz bir Aile hesabı alır.
- Artıları: Esnek parola paylaşımı, kuruluş çapında sağlık raporu için yönetici panosu, toplu atama, bonus Aile planı
- Eksileri: TOA şu anda yalnızca beta önizlemesi olarak mevcuttur
NordPass
NordPass, platformlar arası destek, otomatik doldurma ve farklı türde kimlik bilgilerinin saklanması dahil olmak üzere bir şifre yöneticisinden bekleyeceğiniz temel özellikleri içeren, kullanımı kolay bir hizmettir.
NordPass ayrıca, kuruluşunuzun kimlik bilgilerini içeren güvenlik olayları için web’i tarayan bir ihlal izleme özelliğine sahiptir.
NordPass Business, parola sağlığı ve etkinlik günlükleri hakkında şirket çapında raporlar almanızı sağlayan bir güvenlik panosu sağlar. Kullanıcılar, şifreleri ve kredi kartı verilerini ekip üyeleri arasında paylaşabilir.
Teknoloji ayrıca, şirket çapında çok faktörlü kimlik doğrulama (MFA) ve parola politikaları belirleme ve çalışanların parola kasalarına erişimini verme veya iptal etme yeteneği dahil olmak üzere merkezi yönetim araçları sağlar.
NordPass Business, kullanıcı başına aylık 3,59 ABD Doları tutarındadır. Bir Kurumsal plan (fiyat listelenmemiştir), Okta, Azure AD ve Microsoft AD ile SSO’yu ve ayrıca AD (Active Directory) aracılığıyla kullanıcı sağlamayı destekler.
- Artıları: Merkezi yönetim, şirket çapında politikalar, çalışan erişiminin merkezi olarak verilmesi ve iptal edilmesi
- Eksileri: Temel İş planı SSO’yu desteklemiyor
ŞUNLAR DA HOŞUNUZA GİDEBİLİR “Çoğu web API kusuru, standart güvenlik testlerinde gözden kaçıyor” – Corey J Ball, ihmal edilmiş bir saldırı vektörünün güvenliğini sağlama üzerine