Almacenamiento seguro de las credenciales de la cuenta / información para servicios críticos de la empresa: el factor del bus

3

Pregunta :

Estoy tratando de descubrir las mejores prácticas para almacenar credenciales de autenticación para servicios críticos de la empresa: servicios de alojamiento, servicios de registro de dominios, reclutamiento de portales, etc. Para ser claros, no soy hablando sobre las credenciales de autenticación de la API (se almacenan y se ponen a disposición de nuestra base de códigos utilizando las mejores prácticas), pero el acceso administrativo a las cuentas reales en sí. Como ejemplo elegido al azar, imagine que usamos namecheap para registrar los nombres de dominio de nuestra empresa. Habría una dirección de correo electrónico y una contraseña conectadas a nuestra cuenta de namecheap que se necesitarían ocasionalmente para registrar más dominios, actualizar la configuración de DNS, etc. Estoy hablando de las credenciales de autenticación para iniciar sesión en (por ejemplo) namecheap u otros servicios relacionados. Sin embargo, esto no se limita necesariamente a los correos electrónicos / nombres de usuario / contraseñas, sino que también puede incluir claves privadas u otra información crítica del sistema.

Me gustaría almacenar de manera segura toda la información de tal manera que cumpla con algunos requisitos:

  1. Es de fácil acceso para mí, ya que necesito una información u otra de forma regular (semanal)
  2. Si por alguna razón ya no estuviera disponible ( también conocido como factor de bus ), esta información se puede transmitir. a otra persona para minimizar las interrupciones para el negocio
  3. Esto no tiene que ser "fácilmente" accesible para otra persona, solo accesible. Actualmente nadie más necesita esta información de forma regular (si alguna vez). Solo quiero asegurarme de que existe una forma segura y fácil de transferir esta información si es necesario; no se pretende que esto ocurra con regularidad.
  4. Obviamente, la información debe ser muy segura: la "información puede transmitirse" debe hacerse de tal forma que se minimicen las posibilidades de que se transmita de manera accidental o maliciosa a la persona incorrecta . ya que esta información es crítica para el negocio.

Fondo:

Como el "Ingeniero Fundador" de mi empresa, me registré para casi todos estos servicios. Hay alrededor de media docena de críticas, y una docena o más que no son críticas, pero siguen siendo importantes. Todos los servicios tienen contraseñas únicas, aleatorias y largas. Por lo tanto, las contraseñas son la mayor parte de lo que quiero almacenar / compartir, pero como se mencionó, también hay algunas claves privadas y otra información que probablemente convertirá a un administrador de contraseñas en una solución incompleta. Actualmente soy el único que tiene acceso a esta información, y la mayor parte está almacenada en la computadora de mi trabajo de una forma u otra (el directorio principal está cifrado y mi disco duro de respaldo también está cifrado). Una vez más, el problema es el hecho de que soy, literalmente, el único con acceso. En caso de que ocurra algo inesperado, me gustaría que el propietario de la empresa pueda contratar a alguien competente y continuar donde lo dejé sin dificultad.

Actualmente me estoy inclinando por poner la información en algún tipo de entorno seguro alojado en la nube que use cifrado en su extremo (¿Google Drive, Dropbox?). Yo mismo no lo cifraría antes de subirlo porque espero que eso obstaculice mi propia capacidad para acceder a él regularmente. Elegiría una solución basada en la nube que admita 2FA a través de una clave de hardware, que compartiría (junto con las credenciales de la cuenta de la nube) con el propietario.

De todos modos eso es solo un pensamiento. Obviamente, no hay una solución "correcta" aquí, pero estoy buscando sugerencias que cumplan con mis requisitos anteriores para poder encontrar un equilibrio que funcione bien para nosotros.

    
pregunta Conor Mancone 10.04.2018 - 20:28
fuente

2 respuestas

1

Lo que estás describiendo es el caso de uso previsto para una bóveda de contraseñas. Proporciona acceso detallado a las contraseñas y, según mi experiencia, también funcionan con claves privadas y otra información (he usado CyberArk en el pasado). Con CyberArk puede administrar el acceso mediante el uso de grupos LDAP, lo cual es bueno para garantizar que grupos específicos de personas tengan acceso a diferentes tipos de cuentas.

Pero, debes saber en lo que te estás metiendo. Por ejemplo, CyberArk está diseñado para implementarse como al menos dos servidores y no se recomienda la virtualización para el servidor de almacenamiento. Es un poco de infraestructura para administrar un pequeño número de secretos. En otras palabras: tal vez una bóveda de contraseñas es una buena solución para una gran empresa, pero tal vez no para una organización más pequeña.

Otra solución potencial para una pequeña empresa podría ser algo como Keybase, usando la funcionalidad de sus 'equipos'. enlace

Además, AWS acaba de crear un nuevo servicio para administrar secretos. No tengo experiencia con esto todavía, pero quizás sea una buena opción: enlace

    
respondido por el theoneandonly2 10.04.2018 - 21:57
fuente
0

Es posible que desee echar un vistazo a mooltipass , que es un excelente dispositivo de hardware para un solo usuario.

Si desea administrar cuentas / contraseñas para varios usuarios, eche un vistazo a passbolt , que es una solución de gestión de contraseñas de código abierto. que puede ejecutarse de manera confiable en su sitio en las instalaciones.

    
respondido por el cornelinux 12.04.2018 - 14:47
fuente

Lea otras preguntas en las etiquetas