Корпоративные менеджеры паролей

Современные предприятия использую десятки (а иногда и сотни) серверов, сервисов, приложений, API, контейнеров и других технологий.

Для защиты этих ресурсов предприятиям необходимы инструменты для управления секретами, включая пароли, ключи шифрования, ключи SSH (secure shell), API-токены, сертификаты и многое другое.

Проблема в том, что эти ресурсы часто распределены по множеству платформ, включая локальные (on-prem) серверы, облачные сервисы, бессерверные приложения и инструменты оркестровки контейнеров, что значительно затрудняет эффективное управление секретами.

Нередко это приводит к тому, что сотрудники используют специальные и небезопасные методы управления авторизацией, такие как хранение секретов в файлах в открытом виде, жесткое кодирование токенов в файлах исходного кода, загружаемых в репозитории GitHub, и хранение ключей шифрования в незащищенных корзинах S3.

Это приводит к "разрастанию секретов" — логины и другие учетные данные хранятся во многих местах — практика, часто способствующая утечке данных.

Один из способов избежать расползания секретов — использовать "менеджер секретов", инструмент, надежно хранящий и управляющий секретами на протяжении всего их жизненного цикла. Менеджеры секретов могут хранить всевозможные секреты (пароли, API-токены, сертификаты и т. д.) и контролировать доступ к ним людей, устройств и служб.

Есть несколько ключевых особенностей которые следует искать в корпоративных менеджерах секретов:

• Поддержка различных IT-конфигураций: Хороший менеджер секретов должен в равной степени поддерживать облачные, мультиоблачные, локальные и гибридные IT-системы.
• Поддержка ряда протоколов аутентификации: Помимо паролей, решение должно поддерживать сертификаты, ключи шифрования, токены API и другие системы аутентификации, составляющие основу безопасности вашей IT-системы.
• Поддержка различных организаций аутентификации: Технология должна позволять вам настраивать политику доступа к секретам на основе вашей организационной структуры с использованием ролей, групп и т.д.
• Поддерживать различные типы пользователей: Многие IT-системы должны регулировать не только доступ человека, но и то, как машины и службы получают доступ к цифровым ресурсам.
• Интеграция: Любой продукт или услуга должны предоставлять различные инструменты, такие как плагины, API и интерфейсы командной строки, для автоматизации хранения и извлечения секретов.
• Централизованное управление: Установка управления секретами должна обеспечивать видимость и контроль в режиме реального времени над тем, как пользователи, службы и устройства получают доступ к секретам на предприятии.

Вот краткий обзор нескольких популярных продуктов для управления секретами.

HashiCorp Vault

HashiCorp Vault — популярное корпоративное решение для управления и защиты паролей, токенов, ключей шифрования, сертификатов, ключей API и других секретов.

Vault интегрируется с вашим основным поставщиком удостоверений, таким как Active Directory, или выбранной вами облачной платформой. Эта технология может управлять секретами для более чем 100 различных систем, включая общедоступные и частные облака, базы данных, очереди обмена сообщениями и конечные точки SSH.

Среди сильных сторон HashiCorp Vault — поддержка динамически генерируемых секретов. Продукт также обеспечивает контроль над различными ресурсами и возможность для администраторов отзывать разрешения, как только что-то пойдёт не так.

Vault имеет надёжный API, который легко интегрируется в приложения для извлечения секретов, что не позволяет разработчикам полагаться на жёстко запрограммированные пароли и токены.

Однако преимущество HashiCorp Vault не обходятся без компромиссов. Пользовательский интерфейс далёк от интуитивно понятного и имеет крутую кривую обучения. Большая часть функций управляется через интерфейс командной строки, который хорош для автоматизации, но неудобен для ручного управления.

HashiCorp Vault имеет открытый исходный код, что даёт вам возможность разместить его самостоятельно. В качестве альтернативы вы можете использовать облачный экземпляр менеджера секретов по цене 0,03$ в час.

• Плюсы: Большая поддержка различных облачных и локальных технологических стеков, динамическая генерация секретов, надёжная поддержка API, открытый исходный код.
• Минусы: Крутая кривая обучения, плохой пользовательский интерфейс.

CyberArk Conjur

CyberArk Conjur — это решение управления секретами для централизованного управления идентификацией и доступом на предприятии.

Conjur поддерживает различные типы секретов, включая пароли, токены учётной записи службы и токены API. Он также поддерживает интеграцию с популярными облачными инфраструктурами, включая Google Cloud Platform, AWS и Azure, а также ряд типов баз данных, платформы CI/CD и инструменты оркестрации контейнеров.

Как HashiCorp, Conjur поддерживает интеграцию с существующими решениями для аутентификации, включая OAuth, LDAP и других поставщиков удостоверений.

Conjur имеет централизованную систему управления, в которой администраторы могут определять свои ресурсы, а также пользователей, роли, устройства, службы и другие объекты, которые хотят получить доступ к секретам. Они также могут определять корпоративные секреты вместе с такими правилами, как ротация паролей и аудит.

Менеджеры приложений и разработчики используют плагины и API для интеграции Conjur в свои CI/CD, облачные приложения и другие ресурсы, которые хотят предоставить доступ к хранилищу секретов.

У Conjure открытый исходный код, и вы можете самостоятельно разместить приложение. Как и у HashiCorp, одним из недостатков Conjure является сложность как первоначальной настройки, так и текущего управления.

• Плюсы: Универсальна поддержка различных приложений, облачных провайдеров, инструментов оркестрации контейнеров и т.д.; плагины и API для различных типов интеграции.
• Минусы: Сложная настройка и администрирование.

Корпоративные менеджеры паролей

Хотя менеджеры секретов полезные инструменты, они могут быть излишними для небольших организаций или организаций, которые работают без сложного цифрового следа. Учитывая высокий технический барьер входа для менеджеров секретов, компании без специальной IT-коды могут быть не в состоянии их использовать.

Для этих предприятий корпоративный менеджер паролей может быть лучшим решением. Менеджеры паролей служат только для безопасного хранения, доступа и совместного использования паролей. Им не хватает функций интеграции, программирования и автоматизации менеджеров секретов, но они могут быть отличным инструментом для защиты учётных данных в организации.

Мы рассмотрели персональные и семейные менеджеры паролей в предыдущей статье. Помимо функций персонального менеджера паролей, бизнес-менеджер паролей должен обеспечивать следующее:

• Централизованное управление: Администратор должен иметь возможности получать отчёты о работоспособности паролей сотрудников, их использовании, совместном использовании и т.д.
• Интеграция с поставщиком удостоверений: Предприятия должны иметь возможность использования своего текущего поставщика идентичности (AD, Azure, Okta и т.д.) для входа в диспетчер паролей.

Вот два популярных бизнес-ориентированных менеджеров паролей, на которые стоит обратить внимание.

1Password

1Password — популярный менеджер паролей, поддерживаемый на всех основных платформах, включая macOS, Windows, Linux, Android и iOS. У 1Password так же есть расширение Chrome для автоматического заполнения регистрационной информации на веб-сайтах и сохранения новых учётных данных в их хранилище паролей.

Пользователи 1Password могут создавать несколько хранилищ для хранения паролей, информации о кредитных картах, токенов API, ключей для восстановления криптокошелька и других конфиденциальных документов или данных. 1Password также позволяет делиться секретами с другими пользователями и может ограничивать обмен паролями с помощью дат истечения срока действия, ограниченных просмотров с определённых адресов электронной почты, которые могут получать доступ к общей ссылке.

Функция Watchtower отслеживает повторное используемые пароли, уязвимые пароли и потенциально взломанные учётные записи.

Бизнес-версия предоставляет администраторам уменьшенное представление о безопасности паролей в организации. Он также предоставляет возможность детального доступа, позволяя администраторам настраивать разрешения, группы, роли и доступ к хранилищу в нужном масштабе.

Ранее 1Password не поддерживал единый вход (Single sign-on). Но недавно была добавлена бета-поддержка входа в систему через систему единого входа Okta, а в ближайшее время будут добавлены Azure и Duo. Поставщик также добавляет интеграцию с Azure AD, Google Workspace, OneLogin и Slack.

1Password Business стоит 7,99$ за пользователя в месяц. В качестве бонуса каждый пользователь 1Password Business получает бесплатную учётную запись Families, которой они могут поделиться с пятью членами семьи.

• Плюсы: Гибкое совместное использование паролей, панель администратора для отчётов о состоянии всей организации, массовое назначение, бонусный семейный план.
• Минусы: Система единого входа в настоящее время доступна только в виде предварительной бета-версии.

NordPass

NordPass — простой в использовании корпоративный менеджер паролей, включающий основные функции, которые вы ожидаете от менеджера паролей, в том числе кросс-платформенную поддержку, автоматическое заполнение и хранение различных типов учётных данных.

NordPass также имеет встроенную функцию мониторинга нарушений, сканирующую интернет на наличие инцидентов безопасности, связанных с учётными данными вашей организации.

NordPass Business предоставляет панель управления безопасностью, которая позволяет вам получать общекорпоративные отчёты о работоспособности паролей и журналах активности. Пользователи могут обмениваться паролями и данными кредитных карт между членами команды.

Эта технология также предоставляет инструменты для централизованного администрирования, в том числе возможность устанавливать многофакторную авторизацию и политику паролей в масштабах всей компании, а также предоставлять или отзывать доступ сотрудников к хранилищам паролей.

NordPass Business стоит 3,59$ на пользователя в месяц. План Enterprise (цена не указана) поддерживает систему единого входа с Okta, Azure AD и Microsoft AD, а также подготовку пользователей через Active Directory.

• Плюсы: Централизованное администрирование, общекорпоративные политики, централизованное предоставление и отзыв доступа сотрудников.
• Минусы: Базовый бизнес-план не поддерживает систему единого входа.