Le guide rapide de la gestion des secrets en entreprise

La scène informatique d’entreprise se caractérise aujourd’hui par transformation numérique continue et la génération de données aux proportions épiques. Le travail à distance et mobile étant la nouvelle norme dans un monde post-pandémique, la mobilité et l’agilité sont devenues des moteurs essentiels de la continuité des activités dans l’entreprise.

Afin d’automatiser et d’intégrer toutes les fonctions commerciales possibles, de centraliser et d’accélérer le flux de données et d’informations, d’améliorer la productivité et d’offrir une meilleure expérience client, les organisations créent des environnements DevOps agiles avec des modèles opérationnels hybrides multi-cloud.

Cependant, une grande mobilité et des données opportunes s’accompagnent d’une grande responsabilité. Les entreprises sont confrontées à des défis croissants pour assurer la sécurité des données, des services et des informations personnelles identifiables (PII). Malgré les progrès de la technologie, nous continuons à voir nombre record de violations de données année après année.

Comment les entreprises font-elles évoluer leurs méthodes de stockage, de gestion et de protection des données pour s’assurer que les employés disposent d’un moyen simple d’accéder aux ressources numériques tout en renforçant la sécurité de l’ensemble de l’infrastructure informatique ?

La réponse réside dans une gestion efficace des secrets.

Qu’est-ce que la gestion des secrets et pourquoi est-elle nécessaire ?

La gestion des secrets est l’ensemble approprié d’outils et de meilleures pratiques utilisés pour stocker en toute sécurité, accéder et gérer de manière centralisée les identifiants d’authentification numérique (ou « secrets ») tout au long de leur cycle de vie. Les secrets sont des éléments de données utilisés pour l’authentification et l’autorisation. Ils comprennent les mots de passe, les clés de chiffrement publiques et privées, les clés SSH, les API, les jetons et les certificats. Les machines et les humains utilisent des secrets pour s’authentifier et communiquer.

Mais pourquoi avez-vous besoin de la gestion des secrets en premier lieu ?

« Avec le passage universel à l’infrastructure hybride multi-cloud et la dépendance à la conteneurisation des applications, la nécessité pour les machines et les personnes d’accéder en continu aux systèmes et aux données a considérablement augmenté. Par exemple, de plus en plus d’applications doivent accéder en permanence à différentes sources de données, services cloud et serveurs, souvent avec différents types d’informations d’identification nécessaires pour chaque ressource. Cela a créé un besoin exponentiel de secrets tout au long du processus DevOps », explique Oded HarevenPDG et co-fondateur d’Akeyless, un outil de gestion des secrets en mode SaaS.

Ce qui rend la tâche délicate, c’est que les développeurs encodent fréquemment divers secrets dans le code d’application ou de microservice, les scripts, les outils d’automatisation et les référentiels de code, tous résidant dans diverses infrastructures. Pire, ces codes sont à des stades de développement différents avec un risque réel d’être mal gérés et non protégés. Le résultat est un manque général de contrôle et d’intégration des secrets, conduisant à ce que l’on appelle dans les cercles de sécurité une « prolifération secrète ».

Les ennuis ne s’arrêtent pas là. Les secrets conservés dans les plates-formes cloud qui effectuent une intégration continue/livraison continue (CI/CD) sont nécessaires, de par leur nature, pour gérer et autoriser l’accès à d’autres machines et logiciels. Pour cela, ils doivent stocker des secrets et des clés de signature (utilisés pour sceller le code et les mises à jour logicielles), qui sont souvent stockés dans des emplacements non sécurisés tels que l’ordinateur portable d’un développeur ou un serveur de build.

La prolifération des secrets rend non seulement les informations d’identification difficiles à suivre et à gérer, mais également vulnérables au piratage. En fait, les informations d’identification volées représentent près de la moitié de toutes les violations de données, selon un rapport de Verizon.

De nombreux hacks récents, y compris les hacks de la chaîne d’approvisionnement logicielle, tirent parti des secrets qui ont été placés dans le code, qui est à nouveau stocké dans des référentiels facilement accessibles tels que GitHub. En fait, GitHub a récemment détecté plus de 700 000 fuites d’informations d’identification potentielles à travers des milliers de référentiels privés, prêts à être récupérés.

Les exemples ne cessent de venir. Une attaque de la chaîne d’approvisionnement logicielle récemment révélée piraté les bibliothèques populaires PHP et Python pour voler des clés AWS. Dans un autre cas, un service couramment utilisé qui aide les développeurs open source à écrire et à tester des logiciels s’est avéré être fuite de milliers de jetons d’authentification et d’autres secrets, permettant aux pirates d’accéder aux comptes privés des développeurs sur Docker, Github, AWS et d’autres référentiels de code.

Mais n’y a-t-il pas déjà un million de méthodes disponibles pour protéger les mots de passe, les clés et autres informations d’identification, demandez-vous ?

Il y a. Et cela fait partie du problème.

Les défis de la gestion des secrets

Il existe une inefficacité et une duplication considérables dans les solutions de sécurité d’aujourd’hui en matière de gestion des secrets. Certains de ces défis sont :

Propagation secrète :

Le monde passe du sur site au cloud, tout comme les secrets. Les 3 grands fournisseurs de services cloud (et autres) proposent tous leurs propres solutions de gestion des secrets, que la plupart des entreprises acceptent par défaut, simplement faute d’une meilleure solution – quoi de plus sûr que la propre plate-forme du fournisseur ?

Mais avec une architecture multicloud hybride prenant le devant de la scène (c’est le seul modèle opérationnel informatique qui est de plus en plus adopté), la plupart des équipes DevOps se retrouvent face à plusieurs environnements regorgeant de microservices et de conteneurs pour différentes charges de travail. Ceux-ci ont à leur tour des milliers de composants de machine à machine qui communiquent entre eux, ce qui entraîne un nombre ahurissant de clés, de jetons et d’autres secrets en circulation.

L’explosion et la décentralisation des secrets représentent un énorme fardeau opérationnel pour les administrateurs et les praticiens DevOps. La myriade de solutions cloud et de virtualisation disponibles aujourd’hui permettent aux utilisateurs de créer et de détruire des machines virtuelles et des applications à grande échelle. Inutile de dire que chacune de ces instances de VM est livrée avec son propre ensemble de secrets qui doivent être gérés. De plus, les clés SSH peuvent à elles seules se chiffrer en millions dans les entreprises. En dehors de cela, les tâches Ansible, les conteneurs Kubernetes et les routines quotidiennes de traitement par lots ont tous tendance à avoir des mots de passe qui nécessitent une rotation.

Tous ces systèmes sont incapables d’accéder à des ressources de sécurité externes à leur environnement. Il n’existe pas de plan de contrôle unifié qui puisse vous aider à gérer plusieurs référentiels secrets stockés sur différentes plates-formes.

Visibilité insuffisante :

Les secrets statiques localisés dans différents environnements (tels que le cloud, sur site, en périphérie ou hybride) sont gérés par différentes personnes, équipes et administrateurs, créant des « îlots secrets ». Cela conduit inévitablement à des défis d’audit et à des failles de sécurité.

Complexité des solutions de coffre-fort :

En raison du grand nombre d’outils et de plates-formes historiques et hérités (à la fois DevOps et non DevOps) et du grand nombre d’extensions pour chacun d’eux, les solutions de coffre-fort sur site ne fonctionnent pas bien dans de nombreux cas. De plus, il est difficile de configurer des coffres-forts en fonction de l’infrastructure sous-jacente de calcul, de stockage et de mise en réseau dans un environnement hybride. Le besoin de mises à jour fréquentes ne fait qu’augmenter la complexité des coffres-forts sur site.

Les coffres-forts basés sur le cloud ne sont pas meilleurs. Un énorme drapeau rouge est que ces offres sont la propriété du fournisseur et ne prennent en charge que les charges de travail qui s’exécutent dans leur propre environnement et écosystème, donc encore une fois, elles ne conviennent pas aux architectures de cloud hybride. Même si vous n’utilisez qu’un seul fournisseur de cloud majeur, un environnement multicloud, cela n’entraîne qu’une prolifération des coffres-forts. Une autre préoccupation est que vos clés principales sont partagées avec votre fournisseur de cloud. Cela signifie qu’un administrateur malhonnête, un pirate informatique ou une agence gouvernementale pourrait y accéder et vous seriez impuissant.

La solution parfaite de gestion des secrets…

pourrait ne pas exister. Mais cela ne signifie pas que vous ne pouvez pas créer des politiques infaillibles de gestion des identités et des accès (IAM) qui protègent votre entreprise contre toutes les menaces connues et tous les types de menaces connus.

L’IAM est le nouveau périmètre – il est fondamental pour une stratégie de sécurité moderne. Valider l’identité (authentification) des utilisateurs humains et machines et justifier leur besoin d’accéder à la ressource (autorisation) devient chaque jour plus complexe avec l’augmentation de l’automatisation et le nombre de charges de travail dynamiques qui fluctuent avec la demande.

De plus, la nature de l’authentification change constamment. Les modules d’application et de base de données ne sont plus confinés à un gros bloc de code comme ils l’étaient auparavant. Il s’agit plutôt d’une intégration complexe et dynamique de microservices et de sous-composants, chacun ayant son propre processus d’authentification.

Voici ce que les entreprises qui opèrent dans un environnement multicloud ou qui ont un mélange hybride de systèmes de cloud sur site, privés et publics en place devraient rechercher dans un plateforme de gestion des secrets ou solutions :

Fonctionne dans des configurations hybrides, multicloud et multi-locales : C’est peut-être le facteur le plus essentiel pour les entreprises. Dans la mesure du possible, choisissez une plate-forme qui s’intègre de manière transparente aux flux de travail multiplateformes et multi-environnements à l’aide de la technologie cloud native. Votre solution de gestion des secrets doit prendre en charge l’authentification et la vérification machine à machine et homme à machine compatibles IAM pour différents types de secrets tels que les certificats SSH, les clés API, les certificats x.509, les clés de chiffrement, etc. conformité de sécurité.

Fonctionne avec différents protocoles d’authentification, langues et appareils : Il est important que votre outil de gestion des secrets prenne en charge l’authentification humaine, matérielle et logicielle via des fournisseurs d’identité tiers via toutes les principales interfaces, y compris (certainement) une ligne de commande, une interface graphique, une API REST et des SDK pour les principaux langages. Inutile de dire que cela devrait faciliter secrets dynamiques et s’intègre aux plates-formes cloud courantes telles que Docker, Kubernetes, Terraform, Ansible et Jenkins pour des opérations DevOps ininterrompues.

Se pose alors la question de l’échelle. Si vous souhaitez vous développer à «l’échelle du cloud» et étendre votre infrastructure géographique ou technologique, vous devez être en mesure d’adapter vos capacités de gestion des secrets pour prendre en charge tous les outils et plug-ins existants et à venir.

Peut être géré via une plateforme SaaS unifiée : Les équipes de sécurité ont aujourd’hui besoin d’une visibilité et d’un contrôle centralisés de l’authentification pour tous les utilisateurs, applications et appareils dans tous les environnements utilisés par l’organisation. « Un outil intuitif de gestion des secrets basé sur SaaS avec une visibilité en temps réel sur chaque cas d’utilisation des secrets, une journalisation des audits et des analyses robustes est le besoin de l’heure selon chaque responsable de la sécurité à qui j’ai parlé », déclare Hareven.

Résout le problème du zéro secret et applique le modèle de confiance zéro : La gestion des mots de passe est une fonction courante de nos jours. Un individu peut avoir une feuille de calcul ou un document dans lequel il stocke tous les mots de passe des différentes applications ou panneaux de contrôle qu’il utilise. Cependant, pour ouvrir cette feuille de calcul, ils auraient probablement un autre mot de passe. Et ils auraient également besoin des informations d’identification de l’utilisateur pour se connecter au système d’exploitation et accéder à la feuille de calcul. Multipliez ce scénario par les types infinis de secrets que vous avez aujourd’hui, et vous obtenez le problème du « secret zéro ».

Votre solution de gestion des secrets doit vous fournir un ensemble d’informations d’identification initiales avec un jeton ou une clé éphémère pour une authentification continue dans la machine mère afin que le « zéro secret » ne soit jamais compromis.

Cela s’inscrit dans le principe de l’architecture Zero Trust (ZTA), qui suit le principe du moindre privilège (PoLP), en vertu duquel les utilisateurs et les applications se voient accorder un accès « juste à temps » et granulaire à un nombre spécifique de ressources pour un période de temps spécifique – seulement après avoir « justifié » leur demande à l’administrateur. Ces privilèges sont accordés dynamiquement et expirent automatiquement après le délai prédéfini.

Gardez vos secrets

La plateforme idéale de gestion des secrets renforce le DevOps, la migration vers le cloud et la transformation numérique dans l’entreprise en permettant à différentes équipes d’accéder aux ressources dont elles ont besoin et de gérer leurs secrets de manière autonome. Avec une solution fournie « en tant que service » à partir du cloud, vous pouvez réduire les frais généraux de maintenance, améliorer la disponibilité et faire évoluer vos opérations pour atteindre vos objectifs de croissance organisationnelle.