Neler Gizli Bilgi Sayılır
Gizli bilgiler, insan olmayan aktörlerin kimlik doğrulamak için kullandığı kimlik bilgileridir: uygulama yapılandırmasına gömülü veritabanı parolaları, üçüncü taraf servisler için API anahtarları, OAuth belirteçleri, TLS sertifikaları ve özel anahtarlar, otomasyonun kullandığı SSH anahtarları ve mikro servisleri birbirine bağlayan bağlantı dizeleri. Modern bir ortamda bu makine kimlik bilgileri, insan parolalarından kat kat fazladır.
Gizli bilgi yönetimi; bu değerleri şifreli ve erişimi denetlenen bir depoda saklama, koda veya imajlara gömmek yerine çalışma anında iş yüklerine teslim etme, düzenli olarak döndürme ve her erişimi denetleme disiplinidir. İyi yapıldığında bir gizli bilgi; depolara, CI hatlarına ve yapılandırma dosyalarına dağılmak yerine yönetilen tek bir yerde bulunur.
Neden Önemli
Sızmış gizli bilgiler, bulut ihlallerinin en yaygın nedenleri arasındadır. Herkese açık depolara işlenen API anahtarları, derleme kayıtlarında unutulan belirteçler ve konteyner imajlarına gömülü parolalar, ifşadan dakikalar sonra otomatik tarayıcılar tarafından düzenli olarak toplanır. İnsan oturumundan farklı olarak, sızmış bir makine kimlik bilgisi çoğu zaman MFA ve anomali tespiti içermez; elinde tutan kim olursa olsun sessizce çalışır.
Dağınıklık sorunu büyütür: merkezî yönetim olmadan bir gizli bilginin kaç kopyasının var olduğunu, hangi sistemlerin ona bağımlı olduğunu veya güvenle döndürülüp döndürülemeyeceğini kimse bilemez. Ele geçirilen gizli bilgilerin bir sızıntı keşfedildikten sonra bile aylarca geçerli kalmasının nedeni bu belirsizliktir.
Uygulamada Gizli Bilgi Yönetimi
Ekipler genellikle kodu, yapılandırmayı ve dağıtım hatlarını gömülü gizli bilgiler için tarayarak başlar; ardından bulunanları merkezî bir depoya taşır ve sabit kodlanmış değerleri çalışma anında alımla değiştirir. Platformların desteklediği yerlerde kısa ömürlü, dinamik olarak üretilen kimlik bilgileri tercih edilir; bir saat içinde süresi dolan bir gizli bilginin iptal edilmesine neredeyse gerek kalmaz. Erişim politikaları her iş yükünü yalnızca ihtiyaç duyduğu gizli bilgilerle sınırlar ve her okuma kaydedilir.
Gizli bilgi yönetimi PAM ile örtüşür: iki disiplin de kimlik bilgilerini kasalar, döndürür ve denetler; gizli bilgi yönetimi uygulama hızında makineden makineye kimlik doğrulamaya odaklanır. Bu tabloda Monopam; sunucu, veritabanı ve servis hesabı parolaları gibi altyapı kimlik bilgilerinin kasalanmasını ve rotasyonunu üstlenir; özel uygulama gizli bilgi araçlarının yerini almak yerine onları tamamlar.