Archiviazione sicura di credenziali / informazioni dell'account per servizi aziendali critici: il fattore bus

3

Domanda:

Sto cercando di capire le best practice per l'archiviazione delle credenziali di autenticazione per servizi aziendali critici - servizi di hosting, servizi di registrazione di domini, portali di reclutamento, ecc ... Per essere chiari, sono non parlare delle credenziali di autenticazione API (quelle sono memorizzate e rese disponibili per la nostra base di codice usando le migliori pratiche), ma l'accesso amministrativo agli stessi account. Come esempio scelto a caso, immaginiamo di usare namecheap per registrare i nomi di dominio per la nostra azienda. Ci sarebbe un indirizzo email e una password connessi al nostro account namecheap che sarebbe necessario occasionalmente per registrare più domini, aggiornare le impostazioni DNS, ecc. Sto parlando delle credenziali di autenticazione per accedere (per esempio) a namecheap o ad altri servizi correlati. Tuttavia, questo non è necessariamente limitato alle e-mail / nomi utente / password, ma potrebbe anche includere chiavi private o altre informazioni critiche per il sistema.

Desidero memorizzare in modo sicuro tutte queste informazioni in un modo che soddisfi alcuni requisiti:

  1. È facilmente accessibile per me, poiché ho bisogno di un'informazione o di un'altra su base regolare (settimanale)
  2. Se per qualche motivo non dovessi più essere disponibile ( ovvero il fattore di bus ), queste informazioni possono essere trasmesse insieme a qualcun altro per ridurre al minimo le interruzioni dell'attività
  3. Questo non deve essere "facilmente" accessibile ad un'altra persona - solo accessibile. Attualmente nessun altro ha bisogno di queste informazioni su base regolare (se mai). Voglio solo assicurarmi che ci sia un modo sicuro e semplice per trasferire queste informazioni, se necessario, non è previsto che sia un evento normale.
  4. Le informazioni devono ovviamente essere molto sicure: "Le informazioni possono essere trasmesse" devono essere fatte in modo tale da ridurre al minimo le probabilità che vengano trasmesse per errore o male alla persona sbaglia , poiché si tratta di informazioni business-critical.

Sfondo:

In qualità di "Ingegnere Fondatore" presso la mia azienda, mi sono registrato praticamente per tutti questi servizi. Ce ne sono una mezza dozzina molto critiche e una dozzina in più che non sono critiche, ma sono comunque importanti. Tutti i servizi hanno password univoche, casuali e lunghe. Le password sono quindi la maggior parte di ciò che voglio memorizzare / condividere, ma come accennato ci sono anche alcune chiavi private e altre informazioni che probabilmente renderanno un gestore di password una soluzione incompleta. Attualmente sono l'unico ad avere accesso a queste informazioni e la maggior parte di esse è memorizzata sul mio computer di lavoro in una forma o nell'altra (la home directory è crittografata e anche il mio disco rigido di backup è crittografato). Di nuovo, il problema è che sono letteralmente l'unico con accesso. In caso di qualcosa di inaspettato, vorrei che il proprietario della compagnia fosse in grado di assumere qualcuno competente e riprendere da dove avevo interrotto senza difficoltà.

Attualmente mi sto proponendo di inserire le informazioni in una sorta di ambiente sicuro in cloud che utilizza la crittografia alla loro estremità (google drive, dropbox?). Non lo crittograferei personalmente prima di caricarlo perché mi aspetto di ostacolare la mia capacità di accedervi regolarmente. Sceglierei una soluzione basata su cloud che supporti 2FA tramite una chiave hardware, che condividerei (insieme alle credenziali dell'account cloud) con il proprietario.

Questo è solo un pensiero comunque. Ovviamente non c'è una soluzione "giusta" qui, ma sto cercando dei suggerimenti che soddisfino le mie esigenze di cui sopra in modo da poter trovare un equilibrio che funzioni bene per noi.

    
posta Conor Mancone 10.04.2018 - 20:28
fonte

2 risposte

1

Quello che stai descrivendo è il caso d'uso previsto per un vault della password. Fornisce un accesso preciso alle password e nella mia esperienza funzionano anche con chiavi private e altre informazioni (ho usato CyberArk in passato). Con CyberArk puoi gestire l'accesso utilizzando i gruppi LDAP, il che è utile per garantire che gruppi specifici di persone abbiano accesso a diversi tipi di account.

Ma dovresti sapere in cosa stai andando. Ad esempio, CyberArk deve essere implementato come almeno due server e la virtualizzazione non è consigliata per il server del vault. È un bel po 'di infrastruttura da gestire per un piccolo numero di segreti. In altre parole: forse una password vault è una buona soluzione per una grande azienda, ma forse non per un'organizzazione più piccola.

Un'altra potenziale soluzione per una piccola impresa potrebbe essere qualcosa come Keybase, utilizzando la loro funzionalità di "team". link

Inoltre, AWS ha appena creato un nuovo servizio per la gestione dei segreti. Non ho ancora esperienza con questo, ma forse è una buona idea: link

    
risposta data 10.04.2018 - 21:57
fonte
0

Potresti dare un'occhiata al mooltipass che è un ottimo dispositivo hardware per singolo utente.

Se vuoi gestire account / password per diversi utenti dai un'occhiata a passbolt , che è una soluzione di gestione delle password open source, che può essere affidabile sul tuo sito on premise.

    
risposta data 12.04.2018 - 14:47
fonte