A medida que las identidades de las máquinas explotan en los entornos de nube, las empresas reportan ganancias dramáticas de productividad al eliminar las credenciales estáticas. Y sólo los sistemas heredados siguen siendo el eslabón débil.
Durante décadas, las organizaciones han dependido de secretos estáticos, como claves API, contraseñas y tokens, como identificadores únicos para las cargas de trabajo. Si bien este enfoque proporciona una trazabilidad clara, crea lo que los investigadores de seguridad describen como una «pesadilla operativa» de gestión manual del ciclo de vida, programas de rotación y riesgos constantes de fuga de credenciales.
Este desafío ha impulsado tradicionalmente a las organizaciones hacia soluciones centralizadas de gestión de secretos como HashiCorp Vault o CyberArk, que proporcionan intermediarios universales para secretos en todas las plataformas. Sin embargo, estos enfoques perpetúan el problema fundamental: la proliferación de secretos estáticos que requieren una gestión y rotación cuidadosas.
«Tener una carga de trabajo en Azure que necesita leer datos de AWS S3 no es ideal desde una perspectiva de seguridad», explica un ingeniero de DevOps que gestiona un entorno multinube. «La autenticación entre nubes y la complejidad de la autorización dificultan la configuración segura, especialmente si elegimos simplemente configurar la carga de trabajo de Azure con claves de acceso de AWS».
El caso empresarial para el cambio
Los estudios de casos empresariales documentan que las organizaciones implementar identidades administradas reportar un Reducción del 95% en el tiempo dedicado a administrar credenciales por componente de la aplicación, junto con una reducción del 75% en el tiempo dedicado a aprender mecanismos de autenticación específicos de la plataforma, lo que resulta en cientos de horas ahorradas anualmente.
Pero, ¿cómo abordar la transición y qué nos impide eliminar por completo los secretos estáticos?
Soluciones nativas de plataforma
Las identidades administradas representan un cambio de paradigma del modelo tradicional de «lo que tienes» a un enfoque de «quién eres». En lugar de incorporar credenciales estáticas en las aplicaciones, las plataformas modernas ahora brindan servicios de identidad que emiten credenciales de corta duración y que se rotan automáticamente para cargas de trabajo autenticadas.
La transformación abarca a los principales proveedores de nube:
- Amazon Web Services fue pionero en el aprovisionamiento automatizado de credenciales a través de Roles de IAMdonde las aplicaciones reciben permisos de acceso temporal automáticamente sin almacenar claves estáticas
- Ofertas de Microsoft Azure Identidades administradas que permiten que las aplicaciones se autentiquen en servicios como Key Vault y Storage sin que los desarrolladores tengan que administrar cadenas de conexión o contraseñas.
- Google Cloud Platform proporciona cuentas de servicio con capacidades entre nubes, lo que permite que las aplicaciones se autentiquen en diferentes entornos de nube sin problemas.
- GitHub y GitLab han introducido la autenticación automatizada para los procesos de desarrollo, eliminando la necesidad de almacenar credenciales de acceso a la nube en las herramientas de desarrollo.
La realidad híbrida
Sin embargo, la realidad tiene más matices. Los expertos en seguridad enfatizan que las identidades administradas no resuelven todos los desafíos de autenticación. Las API de terceros aún requieren claves API, los sistemas heredados a menudo no pueden integrarse con los proveedores de identidad modernos y la autenticación entre organizaciones aún puede requerir secretos compartidos.
«El uso de un administrador de secretos mejora drásticamente la postura de seguridad de los sistemas que dependen de secretos compartidos, pero el uso intensivo perpetúa el uso de secretos compartidos en lugar de utilizar identidades sólidas», según investigadores de seguridad de identidad. El objetivo no es eliminar por completo a los administradores secretos, sino reducir drásticamente su alcance.
Las organizaciones inteligentes están reduciendo estratégicamente su huella secreta entre un 70% y un 80% a través de identidades administradas y luego utilizan una gestión secreta sólida para los casos de uso restantes, creando arquitecturas resilientes que aprovechan lo mejor de ambos mundos.
El desafío del descubrimiento de la identidad no humana
La mayoría de las organizaciones no tienen visibilidad de su panorama de credenciales actual. Los equipos de TI a menudo descubren cientos o miles de claves API, contraseñas y tokens de acceso repartidos por su infraestructura, con patrones de uso y propiedad poco claros.
«No se puede reemplazar lo que no se puede ver», explica Gaetan Ferry, investigador de seguridad de GitGuardian. «Antes de implementar sistemas de identidad modernos, las organizaciones deben comprender exactamente qué credenciales existen y cómo se utilizan».
Plataforma de seguridad NHI (identidad no humana) de GitGuardian aborda este desafío de descubrimiento proporcionando visibilidad integral de los paisajes secretos existentes antes de la implementación de la identidad administrada.
La plataforma descubre claves API, contraseñas e identidades de máquinas ocultas en infraestructuras completas, lo que permite a las organizaciones:
- Mapear dependencias entre servicios y credenciales.
- Identifique candidatos de migración listos para la transformación de la identidad administrada
- Evaluar los riesgos asociados con el uso secreto actual
- Planificar migraciones estratégicas en lugar de transformaciones ciegas
