Déjame contarte un pequeño secreto: el 96% de los servidores del mundo son servidores Linux. Lo que la mayoría de estos miles de millones de servidores tienen en común es que todos se administran a través de SSH. Si bien estos servidores contienen la mayor parte de la información crítica para la organización, su seguridad generalmente se pasa por alto porque la mayoría de las organizaciones simplemente continúan usando la misma seguridad que usaban hace 20 años. Esto es inaceptable en este mundo de confianza cero.
En los últimos años, los piratas informáticos han notado esta brecha en la seguridad y el impacto que puede tener comprometer uno de estos servidores, desde el hack de LinkedIn que llevó a muchos compromisos de otras empresas, a T-Mobile violación de datos del año pasado que le costó a T-Mobile más de 350 millones de dólares en restauraciones. En un estudio del año pasado, descubrimos que hay más de 2,5 millones de intentos de fuerza bruta SSH por servidor al año.
Si bien las claves SSH pueden parecer una opción segura para SSH, un servidor promedio tiene entre 50 y 200 claves y el 90 % de ellas no se utilizan. Esto abre la puerta para que los atacantes encuentren una de esas claves y puedan acceder a los puntos finales, como un ex empleado que obtiene acceso a sus puntos finales e interrumpe sus servicios como en un ataque similar al que sufrió Cisco en 2018.
Cuando se diseñó SSH, las claves SSH adicionales en un servidor sin fecha de vencimiento no eran un problema porque había un perímetro de red sólido que requería que usted estuviera físicamente en la oficina conectado a una computadora que estaba físicamente conectada a la red. Con la fuerza laboral distribuida actual, este ya no es el caso, los usuarios se conectan desde todo el mundo desde redes y dispositivos que no están controlados ni administrados por su organización, cambiando el perímetro de seguridad a una responsabilidad compartida de identidad sólida y seguridad de la red.
Las claves SSH son geniales, utilizan los últimos algoritmos criptográficos, lo que las hace prácticamente imposibles de usar por fuerza bruta. Sin embargo, son difíciles de administrar, las claves SSH deben agregarse y eliminarse manualmente de los servidores y los usuarios son responsables de la seguridad/protección de la clave privada. Para remediar el creciente riesgo de seguridad que crearon estos dos problemas, OpenSSH creó certificados SSH. Los certificados SSH tienen las mismas propiedades de seguridad que una clave SSH, pero se puede confiar de forma centralizada agregando la autoridad de certificación como emisor confiable y no es necesario eliminar las claves ya que tienen una fecha de vencimiento. Esto reduce drásticamente los gastos generales de gestión y la superficie de cada clave.
Si bien los certificados administrados centralmente son la solución, deben ser emitidos manualmente por el administrador de la Autoridad de Certificación aprenda cómo crear su Autoridad de Certificación SSH. En Keytos nuestro objetivo es hacer que la forma segura sea más fácil que la insegura, es por eso que aprovechamos su identidad corporativa SSO existente y todas las características de seguridad que ha habilitado y las transferimos a SSH mediante la creación a corto plazo (de 1 hora a 1 semana certificados) que brindan a los usuarios acceso justo a tiempo a sus puntos finales SSH. Esto mejora la seguridad del certificado SSH al eliminar la responsabilidad de proteger la clave privada del usuario y transferir la confianza a su identidad corporativa.