En los entornos de TI, algunos secretos se gestionan bien y otros pasan desapercibidos. A continuaci\u00f3n, se incluye una lista r\u00e1pida de los tipos de secretos que suelen gestionar las empresas, incluido un tipo que deber\u00edan gestionar:<\/p>\n
- \n
- Contrase\u00f1as [x]<\/li>\n
- Certificados TLS [x]<\/li>\n
- Cuentas [x]<\/li>\n
- \u00bfClaves SSH???<\/li>\n<\/ul>\n
Los secretos enumerados anteriormente suelen estar protegidos con soluciones de gesti\u00f3n de acceso privilegiado (PAM) o similares. Sin embargo, la mayor\u00eda de los proveedores de PAM tradicionales apenas hablan sobre la gesti\u00f3n de claves SSH. La raz\u00f3n es simple: no tienen la tecnolog\u00eda para hacerlo correctamente. <\/p>\n
Podemos demostrarlo. Todos nuestros clientes de gesti\u00f3n de claves SSH han implementado un PAM tradicional, pero se dieron cuenta de que no pod\u00edan administrar claves SSH con \u00e9l. En el mejor de los casos, los PAM tradicionales pueden descubrir, y mucho menos administrar, el 20 % de todas las claves.<\/p>\n
Entonces, \u00bfpor qu\u00e9 tanto alboroto en torno a las claves SSH?<\/strong><\/h2>\n
Las claves SSH son credenciales de acceso en el protocolo Secure Shell (SSH). En muchos sentidos, son como las contrase\u00f1as, pero funcionalmente diferentes. Adem\u00e1s, las claves tienden a superar en n\u00famero a las contrase\u00f1as, especialmente en entornos de TI de larga data, en una proporci\u00f3n de 10:1. Si bien solo algunas contrase\u00f1as son privilegiadas, casi todas las claves SSH<\/em><\/strong> abrir puertas a algo valioso. <\/p>\n
Una clave tambi\u00e9n puede abrir puertas a varios servidores, como una llave maestra en las mansiones antiguas. Una clave ra\u00edz permite el acceso de administrador a un solo servidor o a varios. Despu\u00e9s de realizar una evaluaci\u00f3n de riesgos con nosotros, uno de nuestros clientes descubri\u00f3 una clave ra\u00edz que permit\u00eda el acceso a TODOS sus servidores.<\/p>\n
Otro riesgo es que cualquiera puede autoabastecerse de claves SSH. No se gestionan de forma centralizada y es as\u00ed por dise\u00f1o. Por eso la proliferaci\u00f3n de claves es un problema persistente en los entornos de TI a gran escala.<\/p>\n
Y a\u00fan hay m\u00e1s: las claves no tienen una identidad por defecto, por lo que compartirlas o duplicarlas es muy f\u00e1cil. Y tambi\u00e9n con terceros. Por defecto, las claves nunca caducan.<\/p>\n
Adem\u00e1s de todo esto, existen conexiones interactivas y automatizadas, siendo estas \u00faltimas las m\u00e1s frecuentes. Cada d\u00eda se ejecutan millones de conexiones automatizadas entre aplicaciones, servidores y m\u00e1quinas mediante SSH, pero no hay suficientes organizaciones (la mayor\u00eda de ellas, nuestros clientes) que tengan control sobre las credenciales SSH de las m\u00e1quinas. <\/p>\n
Estoy seguro de que entendiste el punto: tu entorno de TI puede estar plagado de claves para tu reino, pero no sabes cu\u00e1ntas hay, qui\u00e9n las usa, cu\u00e1les son leg\u00edtimas y cu\u00e1les deber\u00edan eliminarse, las claves no tienen fecha de caducidad y se pueden crear m\u00e1s a voluntad sin una supervisi\u00f3n adecuada. <\/p>\n
El problema clave es tu problema clave.<\/p>\n
\u00bfPor qu\u00e9 los PAM tradicionales no pueden manejar claves SSH?<\/strong>?<\/h2>\n
Debido a que las claves SSH son funcionalmente diferentes a las contrase\u00f1as, los PAM tradicionales no las administran muy bien. Los PAM tradicionales se crearon para almacenar contrase\u00f1as y tratan de hacer lo mismo con las claves. Sin entrar en demasiados detalles sobre la funcionalidad de las claves (como las claves p\u00fablicas y privadas), almacenar claves privadas y entregarlas cuando se las solicita simplemente no funciona. Las claves deben estar protegidas en el lado del servidor; de lo contrario, mantenerlas bajo control es un esfuerzo in\u00fatil.<\/p>\n
Adem\u00e1s, su soluci\u00f3n debe descubrir claves primero para poder administrarlas. La mayor\u00eda de los PAM no pueden hacerlo. Tambi\u00e9n hay archivos de configuraci\u00f3n de claves y otros elementos clave que los PAM tradicionales pasan por alto. Lea m\u00e1s en el siguiente documento:<\/p>\n
![\"Gesti\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726838423_745_Sin-contrasenas-y-sin-claves-el-futuro-de-la-gestion.png\" "\\"Gesti\u00f3n")
<\/a><\/div>\nSu PAM no est\u00e1 completo sin la gesti\u00f3n de claves SSH<\/strong><\/h2>\n
Incluso si su organizaci\u00f3n administra el 100 % de sus contrase\u00f1as, es probable que a\u00fan falte el 80 % de sus credenciales cr\u00edticas si no administra las claves SSH. Como inventores del protocolo Secure Shell (SSH), en SSH Communications Security somos la fuente original de la credencial de acceso denominada clave SSH. Conocemos todos los detalles de su administraci\u00f3n.<\/p>\n
Su PAM no est\u00e1 preparada para el futuro sin acceso sin credenciales<\/strong><\/h2>\n
Volvamos al tema de las contrase\u00f1as. Incluso si las tienes guardadas, no las est\u00e1s administrando de la mejor manera posible. Los entornos modernos y din\u00e1micos (que utilizan servidores en la nube alojados o internos, contenedores u orquestaci\u00f3n de Kubernetes) no funcionan bien con b\u00f3vedas o con PAM que se crearon hace 20 a\u00f1os.<\/p>\n
Por eso ofrecemos un acceso ef\u00edmero moderno, en el que los secretos necesarios para acceder a un objetivo se otorgan justo a tiempo para la sesi\u00f3n y caducan autom\u00e1ticamente una vez que se realiza la autenticaci\u00f3n. Esto no deja contrase\u00f1as ni claves que administrar. Nuestra soluci\u00f3n tambi\u00e9n es no intrusiva: su implementaci\u00f3n requiere cambios m\u00ednimos en su entorno de producci\u00f3n. <\/p>\n
\u00bfQu\u00e9 te parece esta idea de reducir la superficie de ataque, eliminar la complejidad, ahorrar costes y minimizar el riesgo? Lee m\u00e1s aqu\u00ed: <\/p>\n
![\"El](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726838425_156_Sin-contrasenas-y-sin-claves-el-futuro-de-la-gestion.png\" "\\"El")
<\/a><\/div>\nEntonces, la mejor manera de administrar contrase\u00f1as Y claves es No tener que gestionarlos en absoluto<\/em><\/strong> y pasar a la gesti\u00f3n de secretos ef\u00edmeros. As\u00ed:<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726838425_720_Sin-contrasenas-y-sin-claves-el-futuro-de-la-gestion.png\")
<\/a><\/div>\n“Ojal\u00e1 siguiera rotando contrase\u00f1as y claves”, \u00a1no ha dicho ning\u00fan cliente jam\u00e1s!<\/strong><\/h2>\n
Una vez que se deja de usar credenciales, no se puede volver atr\u00e1s. Escuche el ejemplo de nuestros clientes, que han calificado nuestra soluci\u00f3n con una puntuaci\u00f3n NPS de 71, lo que es astron\u00f3mico en el campo de la ciberseguridad.<\/p>\n
Los PAM tradicionales han funcionado bien hasta ahora, pero es hora de preparar su entorno para el futuro con una soluci\u00f3n moderna que le permita prescindir de contrase\u00f1as y claves, a un ritmo que le resulte c\u00f3modo.<\/p>\n
Echa un vistazo a nuestro Conjunto de confianza cero PrivX<\/a> Aprender a realizar la gesti\u00f3n de accesos y secretos de forma integral.<\/p>\n
<\/p>\n
\u00bfTe result\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n