À mesure que votre organisation développe son utilisation des plateformes cloud, des pipelines DevOps et des communications machine à machine, le nombre de clés cryptographiques (en particulier les clés SSH) peut augmenter de manière incontrôlée. Ce phénomène, connu sous le nom de " SSH key sprawl ", introduit de sérieux défis :
-
Manque de visibilité sur les clés utilisées
-
Clés vulnérables ou orphelines susceptibles de passer inaperçues
-
Difficultés de mise en conformité avec les normes de sécurité et de réglementation
La gestion manuelle des clés SSH n'est pas évolutive. Pour résoudre ce problème, vous avez besoin d'une approche stratégique et automatisée fondée sur les meilleures pratiques de l'infrastructure à clé publiquePKI. L'automatisation vous aidera à simplifier la gestion, à renforcer la conformité et à améliorer l'efficacité opérationnelle.
Dans cet article, vous apprendrez :
-
Qu'est-ce que la prolifération des clés SSH et pourquoi est-ce un problème croissant ?
-
Les risques et les problèmes de conformité liés aux clés SSH non gérées
-
Pourquoi la gestion manuelle des clés échoue dans les environnements modernes
-
Comment l'automatisation et les stratégies PKI) peuvent-elles éliminer la prolifération des clés ?
-
Meilleures pratiques pour la mise en place d'un processus de gestion des clés évolutif et durable
Comprendre l'étendue de l'étalement des clés
Dans une entreprise classique, des milliers, voire des millions de clés clés SSH et de certificats numériques non gérés peuvent exister sans surveillance centralisée. Les organisations peuvent être vulnérables aux menaces sans même s'en rendre compte.
Le problème s'étend aux actifs PKI traditionnels tels que les certificats X.509, ainsi qu'aux types de clés moins gouvernés tels que les paires de clés SSH utilisées pour le contrôle d'accès. La prolifération est exacerbée par le provisionnement manuel, l'informatique parallèle et la courte durée de vie des certificats avec une fréquence de renouvellement élevée.
Clés non gérées : Un risque majeur pour la sécurité
Il y a plusieurs raisons pour lesquelles les clés non gérées présentent un risque majeur pour la sécurité des entreprises :
- Les clés SSH non tracées peuvent fournir un accès privilégié persistant longtemps après que leurs propriétaires ont quitté l'organisation.
- Les certifications oubliées ou expirées entraînent des pannes non planifiées, des ruptures d'intégration et des violations des exigences de conformité.
- De nombreuses organisations n'ont pas de visibilité sur les clés activement utilisées, sur leur propriétaire et sur leur date d'expiration. La prolifération des clés crée une confiance fragmentée (plusieurs autorités de certification racines, certifications orphelines, modèles de confiance SSH contradictoires) qui nuit à l'hygiène cryptographique.
Gérer l'étalement urbain lorsque les outils existants ne suffisent pas
Les outils existants ne sont pas à la hauteur. En fait, le fossé entre les exigences modernes et les capacités existantes ne fait que se creuser. Les outils existants n'exploitent pas l'automatisation. Sans automatisation, la rotation et la révocation des clés sont trop lentes et sujettes aux erreurs pour être mises à l'échelle.
Les outils natifs tels que les scanners de clés SSH ouverts ou les gestionnaires de certification basés sur un navigateur offrent des vues étroites et fragmentées de l'utilisation des clés. Les outils traditionnels de gestion de l'accès aux identités et des accès privilégiés négligent souvent les relations de confiance entre les clés SSH ou traitent les certificats PKI comme des attributs statiques plutôt que comme des actifs dynamiques.
Même les grandes équipes de sécurité ont du mal à maintenir des inventaires à jour dans l'infrastructure, les conteneurs, les appareils IoT et les points de terminaison des utilisateurs.
Adopter une approche systémique pour résoudre le problème de l'étalement urbain
Vous pouvez résoudre le problème des clés SSH dispersées dans le paysage informatique en unifiant la découverte des clés et des certificats dans le cadre d'un modèle unique fondé sur les principes de l'PKI .
Une approche moderne visant à maîtriser la prolifération des clés utilise l'automatisation du cycle de vie des certificats pour surveiller, renouveler et révoquer en permanence les certificats numériques dans tous les environnements. Elle remplace également les paires de clés SSH non gérées par des certificats SSH, émis et validés par une autorité centralisée.
En outre, une approche fondée sur la PKI établit des politiques de gouvernance qui définissent la propriété, les limites d'utilisation et les délais d'expiration pour tous les types de clés. Elle intègre la gestion des certificats et des clés SSH aux pipelines DevOps, aux environnements cloud et aux systèmes d'identité pour appliquer les principes du moindre privilège.
4 Traits : Ce à quoi ressemble une bonne gestion des clés SSH
Les organisations dotées d'une bonne gouvernance des clés SSH et d'une PKI solide présentent ces quatre caractéristiques :
- Visibilité complète
- Des opérations axées sur l'automatisation
- Application de la politique et alertes
- Rapports unifiés et auditabilité
#1 - Visibilité totale
Il est essentiel de disposer d'une visibilité totale sur chaque entité cryptographique de l'entreprise. On ne peut pas gérer ce que l'on ne voit pas. La visibilité vous permet d'évaluer les risques en temps réel afin de déterminer les priorités en matière de réparation ou de remplacement.
#2 - Des opérations centrées sur l'automatisation
La gestion manuelle des clés SSH n'est plus viable aujourd'hui. L'automatisation permet de détecter les éléments à risque mieux que les humains et à moindre coût.
Les opérations automatisées éliminent l'erreur humaine en supprimant ce maillon du processus. En outre, elles sont beaucoup plus rapides que les humains, de sorte que vous n'avez pas à craindre que votre organisation ne soit pas protégée en raison d'une clé vulnérable.
#3 - Application de la politique et alertes
L'un des avantages de l'automatisation est l'application des politiques à grande échelle et les alertes. Ce sont des facteurs de bonne gouvernance qui réduisent les chances que les menaces restent dans la nature. Les organisations dotées d'une solide gestion des clés SSH disposent d'une application automatisée des politiques et d'alertes. Personne ne peut enfreindre les politiques car l'automatisation les en empêche. En outre, les alertes automatisées vous informent de l'expiration d'un certificat afin que vous puissiez vous en occuper immédiatement.
#4 - Rapports unifiés et auditabilité
ISO 27001 et PCI-DSSainsi que d'autres réglementations établies par le NIST et le FedRAMPexigent des normes cryptographiques strictes. Une gestion manuelle peut entraîner une violation de ces normes et, en cas d'audit, vous risquez de ne pas respecter la conformité.
La gestion automatisée des clés SSH permet l'établissement de rapports unifiés et l'auditabilité. Vous pouvez produire des rapports sur la conformité réglementaire et offrir une piste d'audit aux auditeurs. Les rapports réduisent le coût de la préparation des audits et la probabilité d'un manquement à la conformité. La gestion manuelle des clés ne vous donne pas la visibilité nécessaire pour établir des rapports ou fournir une piste d'audit.
Command Keyfactor pour l'élimination de l'éparpillement des clés
Keyfactor Command automatise le processus de gestion des clés SSH. Voici quelques-uns de ses principaux avantages :
Recherche automatisée de clés
Vous bénéficiez d'une visibilité en temps réel sur les clés dans l'ensemble de l'organisation. Vous visualisez les clés à partir d'une console unique, ce qui réduit la complexité et vous fait gagner du temps.
Assurer la rotation et l'expiration régulières des clés
Avec Keyfactor Command, vous pouvez identifier et supprimer les clés inutilisées ou non autorisées dans votre réseau afin d'appliquer l'expiration et la rotation automatisées des clés. Définissez les durées de vie des clés et planifiez la rotation des clés pour une conformité sans souci.
Génération de clés en libre-service et approvisionnement automatisé
Les utilisateurs peuvent générer les clés dont ils ont besoin en libre-service. Le déploiement automatisé vers les serveurs et les charges de travail en nuage minimise le temps et les efforts du personnel informatique tout en réduisant les risques de sécurité.
Conformité continue
Keyfactor Command garantit que les clés privées sont générées et stockées en toute sécurité grâce à la génération de clés sur l'appareil. Elle s'intègre également aux modules de sécurité hardware (HSM) et aux coffres-forts de clés les plus répandus.
Rapports et alertes
Vous pouvez générer des rapports personnalisés ou prêts à l'emploi pour obtenir des informations sur les clés dans l'ensemble de l'organisation. En outre, vous pouvez définir des alertes par courrier électronique ou des outils de dialogue en ligne.
La voie à suivre : Gestion moderne des clés et des certificats
La prolifération des clés n'est pas près de disparaître. Les équipes PKI doivent jouer un rôle proactif pour moderniser leur approche de la gestion des clés et des certificats. Sinon, les machines, les API et les charges de travail éphémères continueront à proliférer sans contrôle, et vous serez exposé aux risques liés aux clés vulnérables.
Keyfactor Command automatise la gestion des clés et des certificats afin que vous puissiez adopter une approche PKI qui protège votre organisation de manière efficace et efficiente. Découvrez comment Keyfactor Command offre une visibilité et un contrôle centralisés sur l'ensemble de votre environnement cryptographique, des certificats X.509 aux clés SSH.
Vous avez des questions ? Contactez Keyfactor pour demander une démonstration et transformer votre stratégie PKI .
