Making a Plan to Secure Your Machine Identities – OfficialSarkar
हर एप्लिकेशन के मूल में रहस्य होते हैं। क्रेडेंशियल जो मानव-से-मशीन और मशीन-से-मशीन संचार की अनुमति देते हैं। मशीन की पहचान मानवीय पहचान से कहीं ज़्यादा होती है 45-से-1 का कारक और ये उन रहस्यों में से अधिकांश हैं जिनके बारे में हमें चिंता करने की ज़रूरत है। साइबरआर्क का हालिया शोधपिछले वर्ष 93% संगठनों में दो या अधिक पहचान-संबंधी उल्लंघन हुए। यह स्पष्ट है कि हमें इस बढ़ती समस्या का समाधान करने की आवश्यकता है। इसके अतिरिक्त, यह स्पष्ट है कि कई संगठन निजी रिपॉजिटरी में इन पहचानों के लिए सादे पाठ क्रेडेंशियल का उपयोग करने के साथ ठीक हैं, उन्हें लगता है कि वे निजी रहेंगे। हालाँकि, निजी कोड में खराब स्वच्छता सार्वजनिक लीक की ओर ले जाती है, जैसा कि हम अक्सर समाचारों में देखते हैं। समस्या के दायरे को देखते हुए, हम क्या कर सकते हैं?
हमें वास्तव में अपनी प्रक्रियाओं में बदलाव की आवश्यकता है, विशेष रूप से निर्माण, भंडारण और मशीन पहचान के साथ काम करने के मामले में। सौभाग्य से, आगे बढ़ने का एक स्पष्ट रास्ता है, मौजूदा गुप्त प्रबंधन समाधानों और गुप्त पहचान और उपचार उपकरणों को मिलाकर, सभी डेवलपर्स से मिलते हुए जहाँ वे हैं।
संपूर्ण गोपनीय सुरक्षा योजना बनाना
जब हम मशीन पहचान समस्या, जिसे गुप्त जानकारी का विस्तार भी कहा जाता है, के निवारण के बारे में सोचते हैं, तो हम समस्या को कुछ वाक्यों में बता सकते हैं।
“हमारे कोड, कॉन्फ़िगरेशन, CI पाइपलाइन, प्रोजेक्ट मैनेजमेंट सिस्टम और अन्य स्रोतों में फैले हुए वैध लंबे समय तक चलने वाले प्लेनटेक्स्ट सीक्रेट्स की एक अज्ञात संख्या है, जिसका हम हिसाब नहीं लगा सकते हैं और बिना किसी सुसंगत रोटेशन रणनीति के। इस बीच, डेवलपर्स प्लेनटेक्स्ट में सीक्रेट्स के साथ काम करना जारी रखते हैं क्योंकि यह एप्लिकेशन को काम करने के लिए एक विश्वसनीय, हालांकि समस्याग्रस्त तरीका है।”
इस कार्यात्मक परिभाषा पर विचार करते हुए, हम प्रत्येक चिंता के समाधान के लिए एक बहु-चरणीय योजना बना सकते हैं।
- गुप्त जानकारी का पता लगाना – सॉफ्टवेयर विकास जीवनचक्र में शामिल कोड और प्रणालियों के माध्यम से खोज करके मौजूदा प्लेनटेक्स्ट क्रेडेंशियल्स की पहचान करना, तथा प्रत्येक के बारे में यथासंभव अधिक जानकारी एकत्र करना।
- रहस्य प्रबंधन – एक केंद्रीकृत वॉल्ट मंच के माध्यम से सभी ज्ञात रहस्यों का लेखा-जोखा।
- डेवलपर वर्कफ़्लो – प्रक्रियाओं और उपकरणों को समायोजित करें ताकि रहस्यों को ठीक से बनाना, संग्रहीत करना और सुरक्षित रूप से कॉल करना आसान हो सके।
- गुप्त जानकारी स्कैनिंग – सादे पाठ में जोड़े गए किसी भी नए गुप्त जानकारी की निरंतर निगरानी करना।
- स्वचालित रोटेशन – वैध रहस्यों के नियमित प्रतिस्थापन से दुर्भावनापूर्ण अभिनेताओं द्वारा उनके संभावित शोषण को कम किया जा सकता है।
आप इस यात्रा को एक-एक कदम आगे बढ़ाते हुए, इसे चरणबद्ध तरीके से लागू कर सकते हैं। इससे पहले कि आप इसे जानें, आप रहस्यों के फैलाव को खत्म करने और अपनी सभी मशीन पहचानों को सुरक्षित करने के बहुत करीब पहुँच जाएँगे।
अपने रहस्यों को खोजना
गुप्त रहस्यों पर नियंत्रण पाने की कोशिश करते समय हर टीम के सामने सबसे पहली समस्या यह होती है कि उनके पास कौन से रहस्य हैं। अज्ञात रहस्यों का पता लगाने के लिए मैन्युअल खोज प्रयास किसी भी टीम को जल्दी ही परेशान कर देगा, लेकिन सौभाग्य से, रहस्यों को स्कैन करने वाले उपकरण मौजूद हैं, जैसे कि GitGuardian काजो इस प्रक्रिया को स्वचालित कर सकता है और महत्वपूर्ण विवरणों में अंतर्दृष्टि प्रदान कर सकता है। एक स्थिर प्लेटफ़ॉर्म से, आपको सुधार के लिए डेवलपर्स के साथ काम करने के लिए एक संचार पथ प्रदान करना चाहिए।
एक केंद्रीकृत गुप्त तिजोरी को लागू करना
किसी भी अच्छी सीक्रेट मैनेजमेंट रणनीति का मुख्य उद्देश्य यह प्रबंधित करना है कि सीक्रेट को कैसे संग्रहीत और उपयोग किया जाए। एंटरप्राइज़ वॉल्ट पारदर्शी रूप से आपको सभी ज्ञात सीक्रेट को ध्यान में रखने की अनुमति देते हैं, उन्हें आराम और पारगमन में एन्क्रिप्ट करते हैं। एक अच्छा वॉल्ट समाधान, जिसमें शामिल है साइबरार्क से जादू और हाशिकोर्प वॉल्ट एंटरप्राइज़यदि आपका सारा बुनियादी ढांचा एक ही प्रदाता से है, जैसे AWS या GCP, ये बहुत अच्छे विकल्प हैं भी।
डेवलपर वर्कफ़्लो को सुरक्षित करना
सीक्रेट मैनेजमेंट को ऐतिहासिक रूप से डेवलपर्स के हाथों में छोड़ दिया गया है, जिसके कारण `.env` फ़ाइलों जैसे कई तरह के समाधान सामने आए हैं और दुर्भाग्य से, कोडबेस में सीक्रेट्स को हार्डकोड किया गया है। केंद्रीकृत वॉल्ट समाधान का लाभ उठाने से डेवलपर्स को सभी वातावरणों में अपने अनुप्रयोगों से क्रेडेंशियल्स को सुरक्षित रूप से लागू करने का एक सुसंगत तरीका मिलता है। यदि आप एक मानकीकृत दृष्टिकोण प्रदान कर सकते हैं जो कि वर्तमान में उनके द्वारा किए जा रहे कार्यान्वयन जितना ही आसान है, तो आप पाएंगे कि कई डेवलपर्स इस बात की गारंटी देने के अवसर पर कूद पड़ेंगे कि उनकी तैनाती इस सुरक्षा चिंता के कारण अवरुद्ध नहीं होगी।
आप बाईं ओर शिफ्ट करने पर भी विचार करना चाहेंगे। कमांड-लाइन टूल, जैसे कि ggshield, डेवलपर्स को किसी भी कमिट के बनने से पहले प्लेनटेक्स्ट क्रेडेंशियल्स को स्कैन करने के लिए स्वचालित Git हुक जोड़ने की अनुमति देते हैं। किसी सीक्रेट को कमिट तक पहुँचने से रोकने का मतलब है कि बाद में निपटने के लिए कोई घटना नहीं होगी और सॉफ़्टवेयर डेवलपमेंट लाइफ़साइकल में सबसे कम खर्चीले बिंदु पर समस्या को ठीक करना।
प्रत्येक साझा इंटरैक्शन पर गुप्त स्कैनिंग
आपको इस वास्तविकता को भी ध्यान में रखना चाहिए कि कभी-कभी दुर्घटनाएँ होती हैं। मौजूदा डेवलपर्स द्वारा कोई गलती करने या नई टीमों या उपठेकेदारों को काम पर रखने से आने वाली किसी भी नई समस्या पर नज़र रखने के लिए निरंतर निगरानी की आवश्यकता होती है, जो अभी तक आपकी प्रक्रियाओं को नहीं जानते हैं। जैसे कि पहली बार सीक्रेट डिटेक्शन करते समय, एक ऐसे प्लेटफ़ॉर्म का उपयोग करना जो जानकारी को एक सुसंगत घटना में इकट्ठा करता है, आपको इन नई समस्याओं पर तेज़ी से प्रतिक्रिया करने में मदद करेगा। उदाहरण के लिए, GitGuardian, सेकंड में नए प्लेनटेक्स्ट क्रेडेंशियल को पकड़ने के लिए कोड रिपॉजिटरी स्तर पर एकीकृत होता है, हर पुश या टिप्पणी पर स्वचालित रूप से।
अल्पकालिक क्रेडेंशियल्स को स्वचालित रोटेशन का लक्ष्य होना चाहिए
अगर किसी हमलावर को कोई वैध रहस्य मिल जाता है, तो इससे उनका काम बहुत आसान हो जाता है, क्योंकि वे अपने सामने आने वाले किसी भी दरवाजे को आसानी से खोल सकते हैं। अगर उसी हमलावर को कोई अमान्य रहस्य मिल जाता है, तो वे उसके साथ ज़्यादा कुछ नहीं कर सकते। एक केंद्रीकृत वॉल्ट के साथ, आप ऑटो-रोटेशन प्लान को लागू कर सकते हैं। अधिकांश आधुनिक प्लेटफ़ॉर्म और सेवाओं में API कॉल के माध्यम से नए क्रेडेंशियल बनाने और मौजूदा रहस्यों को अमान्य करने का एक तरीका है। थोड़ी सी स्क्रिप्टिंग के साथ, AWS या साइबरआर्क जैसे प्लेटफ़ॉर्म द्वारा जारी किए गए कई गाइड में से किसी एक का पालन करके, किसी भी क्रेडेंशियल के सुरक्षित प्रतिस्थापन को नियमित, यहाँ तक कि दैनिक, शेड्यूल पर स्वचालित करना संभव है।
संपूर्ण गोपनीय सुरक्षा के लिए योजना की आवश्यकता है
एंड-टू-एंड सीक्रेट्स सुरक्षा से जुड़े मुद्दों को संबोधित करने का सबसे अच्छा समय अभी है। यदि आपके पास पहले से कोई गेम प्लान नहीं है, तो आज उन वार्तालापों को शुरू करने का सबसे अच्छा समय है। “हमारे पास कौन से रहस्य हैं?” या “क्या आपके पास कोई तिजोरी है?” जैसे प्रश्न पूछकर शुरुआत करें। अंततः, हमें डेवलपर्स को वर्कफ़्लो और गार्डरेल्स के साथ सशक्त बनाना चाहिए जो उन्हें उनके विकास प्रवाह पर ध्यान केंद्रित करने दें।
इस बात के प्रति सजग रहना कि नए रहस्यों का पता चले और उनसे तुरंत निपटा जाए, एक सतत प्रक्रिया है। इसके लिए प्रयास करने होंगे, जिसमें जागरूकता बढ़ाना और सही प्रक्रियाओं और प्रौद्योगिकियों को अपनाना शामिल है, लेकिन कोई भी कंपनी पूरे संगठन में मशीन पहचान और रहस्यों पर बेहतर नियंत्रण पा सकती है।
Source: TheHackerNews