Gestión de Contraseñas en Aplicaciones

El Reto

La gestión de credenciales para autenticar aplicaciones-con-aplicaciones implica un importante reto de administración, auditoría y seguridad. Cuando un servidor de aplicaciones, una aplicación de software, un script o cualquier tipo de proceso en batch necesita conectarse a una base de datos, a un servidor remoto o a otro servicio, se necesita un usuario y contraseña privilegiados para la aplicación. Estas credenciales normalmente se encuentran embebidas en el código de la aplicación, o en un archivo de configuración, muchas veces en texto claro que es visible a una gran audienc ia. Como ejemplo, la mayor parte de aplicaciones de negocio necesitan almacenar las credenciales para interactuar con una base de datos para procesar información o proporcionar una interfaz para usuarios finales.

Este reto identifica una brecha en la seguridad y un riesgo importante que a menudo es detectado por los auditores, donde estas contraseñas de bases de datos y aplicaciones son comunmente conocidas y accedidas por los desarrolladores, ingenieros de help desk, etc. Los DBAs dan las contraseñas a los desarrolladores y a los ingenieros de soporte de viva voz o de maneras menos seguras. En el momento en que estas contraseñas son conocidas por varias personas, éstas pueden acceder a bases de datos en producción con información potencialmente confidencial con más privilegios de los que realmente tienen. Adicionalmente, estos usuarios genéricos limitan la posibilidad de realizar auditorías y la trazabilidad de la persona que está accediendo a la base de datos.

Las contraseñas embebidas en código también limitan la posibilidad de cambiar las mismas, convirtiéndolas en estáticas y en elementos sin caducidad. Cambiar la contraseña de una cuenta en una base de datos requiere sincronización con todas las aplicaciones que utilizan esta cuenta para su autenticación. Una encuesta reciente realizada por Cyber-Ark revela que el 42% de las organizaciones nunca cambia las contraseñas que se encuentran embebidas en aplicaciones. Esto implica un serio riesgo de seguridad y claras violaciones de normativas y regulaciones, ya que estas contraseñas embebidas pueden llegar a conocerse por decenas de usuarios no autorizados en la organización, incluyendo ex-empleados o personal externo de sub-contratas.

La Solución

El software de Cyber-Ark proporciona una solución única en la industria para la gestión de Contraseñas en Aplicaciones que encauza el problema de las gestión de contraseñas aplicación-a-aplicación. Enterprise Password Vault™ elimina la necesidad de almacenar contraseñas embebidas en el código de aplicaciones, scrips o archivos de configuración y permite que estas contraseñas altamente confidenciales se almacenen, registren y gestgionen centralmente en el Vault de Cyber-Ark. Con este enfoque, las organizaciones son capaces de cumplir con requisitos internos o regulatorios con un cambio periódico de contraseñas y una monitorización de los accesos privilegiados a través de todos los sistemas, bases de datos y aplicaciones.

Enterprise Password Vault de Cyber-Ark proporciona a las aplicaciones herramientas para acceder al Vault usando sencillas llamadas al sistema, una interfaz de línea de comandos (command line interface, CLI) o APIs nativas para COM, Java, C/C++, y .Net para una variedad de plataformas Windows y UNIX. Esta solución única permite a las organizaciones eliminar contraseñas embebidas de los servicios, aplicaciones o scrips y beneficiarse de una solución segura, con alta disponibilidad y fácil de gestionar para controlar el acceso y cambio automático de las contraseñas privilegiadas de aplicaciones.

Ventajas

Integrar el acceso de aplicaciones a bases de datos con la plataforma segura Enterprise Password Vault proporciona una solución completa para gestionar centralmente las contraseñas privilegiadas. Esto proporciona el cambio automático de las contraseñas privilegiadas de bases de datos y sincriniza las aplicaciones de negocio relevantes con estos nuevos valores de contraseña.

La Suite PIM, incluyendo los módulos para la integración con aplicaciones, proporciona una infraestructura completa para centralizar la gestión de credenciales y cuentas de servicios, incluyendo:

  • Eliminación de las contraseñas de todos los scripts y código de aplicaciónes, convirtiéndolas en invisibles a los desarrolladores y al personal de soporte.
  • Cifrado, todas las contraseñas se mantienen cifradas, tanto cuando están en reposo almacenadas en el Vault como cuando están en tránsito hacia la aplicación que las ha solicitado.
  • Control de Acceso, usando la capa de Control de Acceso del Vault, se puede controlar el acceso a las contraseñas.
  • Registro, cada transacción al Vault se registra, proporcionando una información valiosísima para auditorías e informes de responsabilidad.
  • Capacidad de cambiar contraseñas bajo demanda y en base a las políticas de la organización sin implicar ninguna interrupción en la producción o necesidad de personal de soporte de TI o de desarrollo.
  • Alta Disponibilidad, Redundancia y Continuidad de Negocio, sin paradas en el funcionamiento de las aplicaciones