SSH ha sido el método estándar para obtener acceso y administrar sistemas Linux durante la mayor parte de los últimos 30 años. Sí, SSH simplifica la administración de máquinas a través de una línea de comando interactiva; sin embargo, cualquier desarrollador dará fe de que la gestión de identidades en SSH es una verdadera molestia.
Un componente central de la gestión del ciclo de vida de la identidad es un proceso de incorporación y baja sólido y eficaz. La incorporación de SSH tradicional implica el uso de una llave SSH: debe ir a cada punto final y agregar la llave de usuario al archivo authorized_keys. ¿Por qué es este un problema? Si bien esto funciona para una huella pequeña de 1 a 5 puntos finales, hemos descubierto que este proceso generalmente no sigue las mejores prácticas, siendo estas (a) lo realiza un equipo de seguridad central, (b) dicho equipo de seguridad central mantiene un inventario de quién posee cada llave, y (c) dicho equipo de seguridad central realiza auditorías periódicas de cada llave para garantizar que aún sean necesarias. En realidad, estas mejores prácticas rara vez se siguen y, cuando se siguen, los costos parecen no dejar de acumularse. La verdad del asunto es que, incluso si estas mejores prácticas se siguen al pie de la letra, simplemente no se pueden evitar fallas operativas (muerte, impuestos y fallas operativas, ¿verdad?).
Por cierto, ¿sabías que no eliminar una llave que no se está utilizando solo sirve como una opción fácil para los piratas informáticos? Tatu Ylonen, el inventor de SSH, ha dicho que ha visto entre 50 y 200 llaves por servidor, de las cuales un enorme 90% no se utiliza. Todo lo que esto hace es permitir que los malos actores descubran una de estas llaves no utilizadas y la usen para obtener acceso a los puntos finales, muy parecido a lo que le sucedió a Cisco en 2018.
¿El largo y corto de eso? Las llaves SSH presentan una gran cantidad de problemas y la mayoría de los ingenieros no han recibido la formación de seguridad adecuada sobre las mejores prácticas. ¿Cómo puede su organización evitar los problemas de las llaves SSH? Certificados SSH.
¡La mejor manera de evitar los peligros de las llaves SSH es cambiando a certificados SSH! Los certificados SSH se pueden emitir con una fecha de vencimiento y los puntos finales de Linux los admiten de inmediato. Desde una perspectiva operativa, todo lo que tiene que hacer es agregar la autoridad de certificación al archivo de CA confiable; después de hacerlo, cada certificado emitido por esa CA que coincida con los requisitos de la máquina le permitirá acceder a esa máquina, eliminando así la necesidad de agregar y eliminar a cada usuario en cada punto final.
EZSSH, nuestra solución de gestión SSH de endpoints de confianza cero, se creó con certificados SSH. Los principios básicos de EZSSH son no se requiere agente, niveles de seguridad mejorados y experiencia de usuario mejorada. Para obtener más información sobre cómo EZSSH puede ayudar a su organización, programe una consulta GRATUITA con uno de nuestros expertos hoy.
