Cuando se creó SSH, la configuración promedio era de unas pocas máquinas en una red confiable, y solo unos pocos ingenieros necesitaban acceso a ella. A medida que se disparó el paso a la nube, este ya no es el caso. Las empresas tienen cientos de ingenieros que acceden a miles o millones de puntos finales, a través de múltiples nubes y entornos híbridos. Esta medida introdujo el diseño de confianza cero. Muchos proveedores de identidad se han adaptado a este modelo agregando autenticación multifactor, acceso condicional, acceso justo a tiempo, detecciones de seguridad y más. Desafortunadamente, uno de los perímetros de identidad de los activos más importantes quedó atrás: SSH.
Si bien grandes empresas como Facebook, Netflix, Uber y Lyft han modernizado su pila SSH para utilizar el nuevo estándar de autenticación de Certificados SSH, la mayoría de las empresas todavía dependen de cientos de claves SSH en sus puntos finales sin vencimiento o con procedimientos de ciclo de vida que requieren mucha mano de obra.
La principal diferencia entre la autenticación de clave SSH y la autenticación de certificado SSH se reduce a en qué confía un servidor. Con las claves SSH, cada clave debe agregarse a todos los servidores y, dado que no caducan, también deben eliminarse cuando el ingeniero ya no necesita acceder al punto final. Cuando se utiliza la autenticación de certificado SSH, la clave de la autoridad certificadora es la que confía en el servidor, lo que significa que se confiará en cualquier clave SSH firmada por la clave de la CA. Suena confuso, pero una vez que lo entiendes, te simplifica la vida al resolver todos los problemas que tienen las claves SSH. Conoce más sobre los Certificados SSH en nuestro blog sobre cómo funcionan los certificados SSH
Por eso creamos EZSSH. EZSSH es una herramienta fácil de usar que elimina la necesidad de agregar manualmente cada clave al punto final y eliminarla manualmente cuando el usuario o la máquina ya no necesita acceder al punto final. EZSSH utiliza certificados SSH para crear una autoridad de certificación SSH en la que sus puntos finales confíen y luego emite certificados firmados a corto plazo para que sus usuarios y máquinas accedan al punto final durante el período de tiempo aprobado.
El uso de certificados SSH puede parecer difícil de implementar y utilizar, pero EZSSH lo hace más fácil que las claves SSH normales. Al crear scripts, puede ejecutarlos para confiar en la CA en sus puntos finales (no se requiere agente. Los certificados SSH son compatibles con OpenSSH, lo que significa que desde un pequeño punto final de IoT hasta un enorme servidor en la nube, los certificados SSH son compatibles), hasta tener un cliente que los usuarios puedan usar. para solicitar y acceder a los puntos finales simplemente llamando a ezssh ssh -e youruser@yourendpoint y autenticándose con su identidad de producción segura. EZSSH obtendrá el certificado en segundo plano y conectará al usuario, sin tener que enviar más correos electrónicos al equipo de seguridad para agregar su clave al punto final, ya que Siempre que tenga acceso en la política de acceso, obtendrá acceso a los puntos finales de la política.
EZSSH no solo facilita la incorporación y el ciclo de vida de las claves, sino que también lo hace más seguro. Al utilizar su identidad de producción segura, todas las funciones de seguridad que tiene su proveedor de identidad se traducen a su autenticación SSH.
En Keytos sabemos que, para las cargas de trabajo más críticas, a veces la seguridad del proveedor de identidad no es suficiente y se necesitan aprobaciones de clave dual adicionales. Es por eso que también ofrecemos la opción de administración de identidad de aprobación manual para requerir una aprobación de doble clave para acceder a sus puntos finales más críticos.
Como puede ver, los Certificados SSH no sólo le ahorrarán tiempo y dinero, sino que también harán que su organización sea más segura. ¿Entonces, Qué esperas? Solicite una demostración y únase a Lyft, Facebook y muchos más usando certificados SSH para proteger sus terminales SSH.
