En un mundo donde el 96% de los servidores se ejecutan en Linux, SSH se erige como el punto de acceso universal a estos activos digitales. , muchos de los cuales albergan los datos más críticos de una organización. A pesar de su ubicuidad e importancia, la seguridad de SSH se ha pasado por alto en gran medida, y muchas organizaciones dependen de prácticas obsoletas establecidas hace dos décadas. Este descuido no ha pasado desapercibido para los actores malintencionados. El panorama digital está plagado de ejemplos del impacto catastrófico que pueden tener las vulnerabilidades SSH, desde el infame hack de LinkedIn que desembocó en múltiples filtraciones de empresas, hasta el T -Violación de datos móviles el año pasado, lo que provocó pérdidas asombrosas que superaron los 350 millones de dólares en esfuerzos de restauración. Estos incidentes sirven como claros recordatorios de las vulnerabilidades inherentes a la gestión tradicional de claves SSH.
El enfoque tradicional de gestión de claves SSH (con sus procesos manuales, falta de gestión del ciclo de vida y seguimiento inadecuado) introduce riesgos importantes. Las claves pueden extraviarse, robarse o explotarse fácilmente, otorgando acceso no autorizado a sistemas críticos. Las vulnerabilidades de este método solo se amplifican a medida que las organizaciones crecen, lo que subraya la necesidad urgente de una solución más segura y escalable. ¡Afortunadamente para ti, has llegado hasta aquí! En esta publicación, hablaremos brevemente sobre la nueva forma de administrar SSH a través de certificados SSH y exploraremos cómo puede comenzar fácilmente creando su primera CA SSH y luego echaremos un vistazo a EZSSH para hacerlo más fácil.
Lo primero que debe hacer es seleccionar la máquina que actuará como su Autoridad de certificación (CA). Es recomendable designar una máquina únicamente con el fin de ser una CA, ya que esta práctica mejora la protección de sus claves de firma. Además, para obtener una capa adicional de seguridad, recomendamos proteger sus claves de CA con un módulo de seguridad de hardware (HSM), si es posible. Este enfoque no sólo refuerza la seguridad de su CA, sino que también garantiza la integridad y confidencialidad de sus claves digitales.
Una vez que haya configurado su máquina, cree su clave CA:
ssh-keygen -f ca
Ingrese una frase de contraseña segura para proteger su clave privada. Esto creará dos archivos, un archivo “ca” y un archivo “ca.pub”. NO comparta el archivo “ca” con nadie. En él se utiliza su clave privada para firmar sus certificados. Copie ca.pub a todos sus servidores, EZSSH lo guarda en un archivo llamado: “/etc/ssh/trusted_ca_keys.pub” en los servidores. Luego ejecute la siguiente línea en el servidor que está configurando para aceptar certificados de esta CA:
echo "TrustedUserCAKeys /etc/ssh/trusted_ca_keys.pub" >> /etc/ssh/sshd_config
Esto permitirá que cualquier certificado SSH firmado por esta CA se autentique en este servidor. Ejecute el siguiente comando para reiniciar el servicio ssh en el servidor.
service ssh restart
Ahora su servidor está listo para aceptar certificados SSH.
Ahora un usuario puede crear una clave SSH usando:
ssh-keygen
Esto creará archivos id_rsa e id_rsa.pub en su carpeta .ssh. NUNCA COMPARTA su archivo “id_rsa” con nadie, este contiene su clave privada.
Copie “id_rsa.pub” a la CA. En la CA ejecute lo siguiente:
ssh-keygen -s ca -I YOURNAME -n root -V +1d -z YOURSERIALNUMBER id_rsa.pub
Esto creará un certificado firmado por su CA. Este certificado tendrá: su nombre como “ID de clave”, raíz como “Principal válido” y será válido por 1 día.
Copie el id_rsa-cert.pub en la carpeta .ssh del usuario. Ahora que tiene un certificado, podrá autenticarse en su punto final ejecutando
"ssh root@YOURENDPOINT"
Si bien pudimos crear una CA SSH en la sección anterior, es importante tener en cuenta que este proceso puede ser bastante complejo y llevar mucho tiempo. Aquí es donde entra en juego EZSSH de Keytos. EZSSH es una poderosa herramienta que simplifica el proceso de configuración de una CA SSH, haciéndolo más fácil y eficiente. Con EZSSH, puede crear fácilmente una CA SSH en tan solo unos sencillos pasos, sin necesidad de conocimientos técnicos.
EZSSH abstrae la creación de una CA SSH llamándolas “Políticas de acceso”. Cada política de acceso es una CA que puede firmar certificados SSH. Puede crear tantas Políticas de Acceso como necesite y cada una puede tener configuraciones diferentes. Por ejemplo, puede crear una Política de acceso para sus desarrolladores que requiera aprobación y cree certificados que sean válidos por 1 día, y otra para sus administradores que se apruebe automáticamente. Si bien obtener un certificado cada vez que necesita acceder a un servidor puede parecer complicado, EZSSH lo facilita al automatizar el proceso.
Para concluir, sumergirse en SSH de confianza cero y la rotación de claves SSH puede parecer un gran problema, especialmente con todas las cosas técnicas que necesita saber. Pero bueno, ahí es donde entra en juego EZSSH de Keytos, haciendo las cosas mucho más fáciles. Es como tener un amigo que conoce todos los pormenores y que le ayuda a proteger sus sistemas sin dolores de cabeza. Además, podrá marcar todas esas casillas de cumplimiento, como PCI DSS, sin sudar.
Si te sientes un poco abrumado, ¡no te preocupes! Tenemos muchos recursos para ayudarte. Nuestra documentación SSH está repleta de guías fáciles de seguir y nuestro canal de YouTube está lleno de vídeos útiles para ponerte al día. Si desea programar algo de tiempo para charlar con uno de nuestros expertos en SSH, lo invitamos a hacerlo cuando le resulte conveniente utilizando este enlace. ¡Siempre estamos felices de charlar! Se trata de hacer que la seguridad sea simple y accesible, para que puedas concentrarte en lo que mejor sabes hacer. Entonces, ¿por qué no probar nuestras herramientas y ver lo fácil que puede ser proteger su SSH? Confía en nosotros, ¡vale la pena echarle un vistazo!
