Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Gestion des secrets : Outils & Méthodes d'authentification

Découvrez comment l’authentification multifacteur (MFA) adaptative combat les brèches de données, la compromission des mots de passe faibles et les attaques de phishing.

Mis à jour: 02 septembre 2024 Temps de lecture: ~

Sujette

Security

Sommaire

 

Cet article a été traduit automatiquement.

 

L'identité non humaine et les privilèges identifiants appelés secrets sont protégés par des pratiques, des outils et des processus connus sous le nom de gestion des secrets. Ces secrets comprennent des informations sensibles dans l'environnement numérique sur les réseaux IT. Elles doivent être sécurisées et n'être accessibles qu'à des entités de confiance. Le stockage, la transmission et l'audit des secrets peuvent être compliqués, car l'environnement numérique est complexe et en constante évolution. Les sites solutions complets, holistiques, vastes et automatisés offrent généralement l'environnement le plus sûr et la meilleure pratique pour la gestion des secrets.

Définition de la gestion des secrets

Dans le monde de la technologie, un secret fait référence aux outils d'authentification numérique et peut inclure les éléments suivants :

  • clé API ainsi que d'autres clés d'application et identifiants
  • Auto-généré ou utilisateur tbd
  • Système à système à déterminer, y compris les bases de données
  • Clés SSH
  • Clés de chiffrement privées
  • Certificat privé pour la communication, la transmission et la réception de données sécurisées, tel que TLS et SSL
  • RSA et terminal supplémentaire de mot de passe à usage unique (OTP)
  • à privilèges compte identifiants

La gestion des secrets fait référence à la protection de ces secrets, en ne permettant qu'aux entités autorisées et authentifiées d'y accéder. La gestion des secrets implique une politique, des processus et des outils dans un environnement numérique. Les technologies de l'information peuvent comprendre les éléments suivants :

  • Authentification des demandes d'accès à l'aide d'identifiants non humains
  • Gestion automatisée des secrets
  • Une politique d'accès cohérente
  • Application du principe de moindre privilège (donner le niveau d'accès le plus bas possible)
  • Rotation fréquente des identifiants et des secrets
  • Utilisation du contrôle d'accès basé sur les rôles (role-based contrôle des accès) (allowing access based on role in the Organizations)
  • Maintenir un audit complet et un suivi de tous les accès
  • Supprimer les secrets des zones non protégées, y compris dans le code et les fichiers de configuration

La gestion des secrets peut contribuer à réduire les erreurs humaines et à sécuriser les applications et les pipelines.

demande d'authentification de la gestion du secret

Les secrets d'application et les identifiants d'autorisation numérique font partie d'une infrastructure IT complexe qui doit être gérée avec soin. Voici quelques-unes des demandes d'authentification concernant la gestion des secrets :

  • Le périmètre des données requises des secrets est important et souvent sans contrôle complet. Les secrets sont souvent détenus par certaines parties de l'équipe ou de l'organisation, par exemple, et ne sont pas visibles dans l'ensemble de l'infrastructure. Cela peut entraîner des failles de sécurité et des demandes d'authentification avec audit.  
  • sont souvent codés en dur et faciles à pirater. Les applications et les terminaux lOT sont régulièrement dotés d'identifiants par défaut. Les outils DevOps ont souvent des secrets déjà codés en dur dans des fichiers ou des scripts. Cela peut créer des risques de sécurité pour l'automatisation de la gestion des secrets.  
  • Les infrastructures complexes englobent souvent plusieurs nuages de services, qui ont tous leurs propres secrets à gérer.  
  • Les environnements DevOps s'appuient sur de nombreux scripts et processus d'automatisation qui ont besoin de secrets pour fonctionner correctement. Ces secrets doivent être gérés à l'aide de bonnes pratiques de sécurité.  
  • L'intégration peut s'avérer délicate dans le cas d'infrastructures et d'environnements de grande taille. Les outils utilisés pour gérer les secrets doivent être bien orchestrés avec d'autres outils de la pile de sécurité et avec toutes les parties de la pile DevOps.  
  • L'accès à distance et l'accès de tiers autorisés doivent être utilisés de manière appropriée, et les secrets doivent être gérés pour ces utilisateurs également.  

Meilleures pratiques pour la gestion des secrets

Certains des problèmes liés à la gestion des secrets logiciels sont liés aux secrets eux-mêmes. Les secrets doivent être forts, ils doivent donc être longs, complexes et changés régulièrement. La création et le stockage de secrets comportent un élément humain, car les humains sont souvent à l'origine des fuites de secrets. L'automatisation de la gestion des secrets peut éliminer le facteur d'erreur humaine de l'équation. tbd doit faire l'objet d'une rotation régulière. L'automatisation peut contribuer à atteindre cet objectif et à réduire le risque de fuites.
Les meilleures pratiques en matière de gestion des secrets sont les suivantes :

  • Identifiez et surveillez l'ensemble des TMD à l'aide d'un système de gestion centralisé.
  • Éliminez tous les secrets codés en dur, les secrets embarqués et les secrets par défaut.
  • Appliquer les bonnes pratiques en matière de sécurité, notamment le mot de passe à usage unique (OTP) pour les systèmes sensibles, la rotation des mots de passe, la séparation des privilèges et le principe du moindre privilège (PoLP).
  • Étendez la gestion du secret aux partenaires et aux vendeurs, en veillant à ce que les tiers se conforment également aux bonnes pratiques.
  • Utilisez à privilèges session monitoring pour log, surveiller et audit l'activité.
  • Analysez les secrets en permanence pour détecter les menaces et les anomalies. 
  • Intégrez la sécurité dans le mode de vie DevOps et veillez à ce que le code ne contienne pas d'embarquer tbd.

La gestion des secrets doit être automatisée, intégrée, holistique et complète afin d'englober l'ensemble de votre infrastructure IT jusqu'aux tiers.

solutions pour la gestion des secrets

Les secrets ne doivent pas être stockés dans un endroit où ils peuvent être facilement piratés ou consultés par des utilisateurs non autorisés. Cela signifie qu'il faut les tenir à l'écart du code source et des systèmes d'application. Il existe aujourd'hui sur le marché plusieurs types d'outils de gestion des secrets qui permettent de stocker et de conserver les secrets. Nombre d'entre eux fournissent une méthode ou un lieu externe pour stocker et gérer les informations sensibles. Une bonne solution de gestion des secrets gérera les applications tbd et éliminera également les secrets codés en dur, gérera les secrets pour les scripts et fonctionnera sur l'ensemble de l'infrastructure IT, sans se contenter d'une capacité ou d'une utilisation limitée. Ce formulaire de gestion holistique des secrets est plus large et plus complet, ce qui rend l'informatique plus efficace, plus sûre et plus efficiente. Tous les grands fournisseurs de services en nuage ont un responsable des secrets, mais si vous utilisez plusieurs services en nuage, un outil externe de responsable des secrets peut vous aider à simplifier les choses. L'utilisation d'un service de gestion des secrets peut également contribuer à la sécurité, à l'intégration et à l'automatisation. Les outils, pratiques et processus de gestion du secret peuvent être combinés. Plusieurs outils peuvent être utilisés conjointement pour renforcer la sécurité.

cas d'usage pour la gestion des secrets

Tout environnement disposant d'identifiants d'authentification numérique peut bénéficier de la gestion des secrets. Une bonne gestion des secrets peut vous protéger contre les cyberattaques et les acteurs malveillants qui cherchent à accéder à vos privilèges et à vos informations sensibles. Les quatre cas d'utilisation les plus courants pour la gestion des secrets sont les suivants :

  1. Gestion des secrets pour les conteneurs : Les conteneurs sont souvent utilisés par les équipes d'ingénierie et de DevOps pour améliorer la productivité et la portabilité. Ils nécessitent des secrets pour accéder à des informations sensibles mais ne sont utilisés qu'à court terme, ce qui peut les rendre plus difficiles à contrôler et à sécuriser. Les processus de gestion des secrets peuvent authentifier les demandes de conteneurs et contribuer à sécuriser et à contrôler l'accès aux informations critiques.  
  2. Gestion des secrets pour le pipeline CI/CD : Les outils CI/CD pipeline sont faits pour la vitesse et l'efficacité, et ne sont pas sans demande d'authentification de sécurité. Il s'agit d'outils de gestion automatisée de la configuration qui nécessitent des secrets pour accéder aux ressources protégées, notamment les services HTTP, les bases de données et les serveurs SSH. Ils ont souvent des secrets codés en dur de manière non sécurisée. La gestion des secrets permet de supprimer et de sécuriser ces secrets par défaut.  
  3. La gestion des secrets pour sécuriser les applications COTS et les applications développées en interne : Les solutions et outils tiers, les outils de gestion IT et les scripts et applications développés en interne nécessitent un accès privilégié et sont souvent accompagnés d'identifiants codés en dur. Les solutions de gestion des secrets permettent de supprimer ces identifiants codés et de créer des secrets plus sûrs qui peuvent ensuite être stockés, gérés et échangés en toute sécurité.  
  4. Gestion des secrets pour les environnements élastiques et à échelle automatique : Les fournisseurs d'informatique en nuage offrent des capacités de mise à l'échelle automatique, ce qui peut améliorer l'efficacité mais aussi créer une demande d'authentification pour la gestion de la sécurité. Les pratiques de gestion des secrets peuvent offrir plus de sécurité et d'automatisation en temps réel, tout en supprimant la nécessité pour un opérateur humain d'appliquer manuellement une politique à chaque hôte. 

La gestion des secrets doit mettre en œuvre les meilleures pratiques en matière de sécurité. Les technologies de l'information ne doivent être complexe que nécessairepour que le système reste gérable. Les programmes, politiques et outils de gestion du secret sont conçus pour éliminer une partie de l'erreur humaine et améliorer la sécurité tout en maintenant la facilité d'utilisation.  

Références

Sécuriser le pipeline grâce à la gestion des secrets. (juin 2021). Le Newstack.

Décisions relatives à la conception de la gestion des secrets : Théorie et exemple. (Mars 2018). Sander Knape.

Architectures de gestion du secret : Trouver l'équilibre entre sécurité et complexité. (Juin 2017). Slalom. 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter