Dalam lingkungan TI, beberapa rahasia dikelola dengan baik dan beberapa lainnya tidak diketahui publik. Berikut ini adalah daftar singkat tentang jenis rahasia yang biasanya dikelola perusahaan, termasuk satu jenis yang harus dikelola:
- Kata Sandi [x]
- Sertifikat TLS [x]
- Akun [x]
- Kunci SSH ???
Rahasia yang tercantum di atas biasanya diamankan dengan solusi manajemen akses istimewa (PAM) atau yang serupa. Namun, sebagian besar vendor PAM tradisional jarang membicarakan manajemen kunci SSH. Alasannya sederhana: mereka tidak memiliki teknologi untuk melakukannya dengan benar.
Kami dapat membuktikannya. Semua pelanggan manajemen kunci SSH kami telah menerapkan PAM tradisional, tetapi mereka menyadari bahwa mereka tidak dapat mengelola kunci SSH dengannya. Paling banter, PAM tradisional dapat menemukan, apalagi mengelola, 20% dari semua kunci.
Jadi, apa keributan tentang kunci SSH?
Kunci SSH adalah kredensial akses dalam protokol Secure Shell (SSH). Dalam banyak hal, kunci SSH sama seperti kata sandi, tetapi fungsinya berbeda. Selain itu, jumlah kunci cenderung lebih banyak daripada kata sandi, terutama di lingkungan TI yang sudah lama ada, dengan rasio 10:1. Meskipun hanya beberapa kata sandi yang memiliki hak istimewa, hampir semua kunci SSH membuka pintu menuju sesuatu yang berharga.
Satu kunci juga dapat membuka pintu ke beberapa server, seperti kunci rangka di rumah-rumah tua. Kunci root memungkinkan akses admin ke satu server atau beberapa server. Setelah melakukan penilaian risiko dengan kami, salah satu pelanggan kami menemukan kunci root yang memungkinkan akses ke SEMUA server mereka.
Risiko lainnya adalah siapa pun dapat menyediakan kunci SSH sendiri. Kunci tersebut tidak dikelola secara terpusat, dan memang dirancang demikian. Inilah sebabnya mengapa penyebaran kunci menjadi masalah yang terus-menerus terjadi di lingkungan TI berskala besar.
Masih ada lagi: Kunci tidak disertai identitas secara default, jadi sangat mudah untuk membagikan atau menggandakannya. Begitu pula dengan pihak ketiga. Secara default, kunci tidak akan pernah kedaluwarsa.
Selain itu, ada koneksi interaktif dan otomatis, yang terakhir lebih umum. Jutaan koneksi otomatis antar-aplikasi, antar-server, dan antar-mesin dijalankan menggunakan SSH setiap hari, tetapi tidak cukup banyak organisasi (sebagian besar adalah pelanggan kami) yang memiliki kendali atas kredensial SSH mesin.
Saya yakin Anda mengerti maksudnya: lingkungan TI Anda mungkin dipenuhi dengan kunci kerajaan Anda, tetapi Anda tidak tahu berapa jumlahnya, siapa yang menggunakannya, mana yang sah dan mana yang harus dihapus, kunci tidak memiliki tanggal kedaluwarsa, dan masih banyak lagi yang dapat dibuat sesuka hati tanpa pengawasan yang tepat.
Masalah utamanya adalah masalah utama Anda.
Mengapa PAM tradisional tidak dapat menangani kunci SSH….
Karena kunci SSH secara fungsional berbeda dari kata sandi, PAM tradisional tidak mengelolanya dengan baik. PAM lama dibuat untuk menyimpan kata sandi, dan mencoba melakukan hal yang sama dengan kunci. Tanpa membahas terlalu detail tentang fungsi kunci (seperti kunci publik dan pribadi), menyimpan kunci pribadi dan membagikannya sesuai permintaan tidak akan berhasil. Kunci harus diamankan di sisi server, jika tidak, menjaganya tetap terkendali adalah upaya yang sia-sia.
Lebih jauh lagi, solusi Anda perlu menemukan kunci terlebih dahulu untuk mengelolanya. Sebagian besar PAM tidak dapat melakukannya. Ada juga berkas konfigurasi kunci dan elemen kunci(!) lain yang terlibat yang tidak ditemukan oleh PAM tradisional. Baca selengkapnya dalam dokumen berikut:
PAM Anda tidak lengkap tanpa manajemen kunci SSH
Bahkan jika organisasi Anda mengelola 100% kata sandi Anda, kemungkinan besar Anda masih kehilangan 80% kredensial penting Anda jika Anda tidak mengelola kunci SSH. Sebagai penemu protokol Secure Shell (SSH), kami di SSH Communications Security adalah sumber asli kredensial akses yang disebut kunci SSH. Kami mengetahui seluk-beluk pengelolaannya.
PAM Anda tidak tahan masa depan tanpa akses tanpa kredensial
Mari kita kembali ke topik kata sandi. Bahkan jika Anda menyimpannya di brankas, Anda tidak mengelolanya dengan cara terbaik. Lingkungan modern dan dinamis – menggunakan server cloud internal atau yang dihosting, kontainer, atau orkestrasi Kubernetes – tidak berfungsi dengan baik dengan brankas atau PAM yang dibangun 20 tahun lalu.
Inilah sebabnya kami menawarkan akses sementara modern, di mana rahasia yang dibutuhkan untuk mengakses target diberikan tepat waktu untuk sesi tersebut, dan rahasia tersebut otomatis kedaluwarsa setelah autentikasi selesai. Ini sama sekali tidak menyisakan kata sandi atau kunci untuk dikelola. Solusi kami juga tidak mengganggu: penerapannya memerlukan perubahan minimal pada lingkungan produksi Anda.
Bagaimana cara mengurangi permukaan serangan, menghilangkan kompleksitas, menghemat biaya, dan meminimalkan risiko? Baca selengkapnya di sini:
Jadi, cara terbaik untuk mengelola kata sandi DAN kunci adalah tidak perlu mengelolanya sama sekali dan beralih ke manajemen rahasia sementara. Seperti ini:
“Saya berharap saya masih bisa mengganti kata sandi dan kunci.” Tidak ada pelanggan yang pernah berkata demikian!
Setelah Anda tidak lagi menggunakan kredensial, Anda tidak akan pernah kembali. Percayalah kepada pelanggan kami yang telah menilai solusi kami dengan skor NPS 71 – yang merupakan skor yang sangat tinggi di bidang keamanan siber.
PAM tradisional sejauh ini telah berjalan dengan baik, tetapi sekarang saatnya untuk mempersiapkan lingkungan Anda untuk masa depan dengan solusi modern yang memungkinkan Anda untuk tidak menggunakan kata sandi dan kunci. Dengan kecepatan yang nyaman bagi Anda.
Lihat PrivX Zero Trust Suite kami untuk mempelajari cara melakukan manajemen akses dan rahasia secara komprehensif.