La gestión de secretos: más cerca y más lejos de lo que crees
Por el motivo que sea, todos creemos que podemos esconder algo de manera más o menos eficaz en un sistema informático: bien porque creemos que no es tan importante y nadie lo buscará, bien porque pensamos que los que lo buscarán no son tan listos como para seguir nuestra línea de pensamieno.
A veces también porque no nos damos cuenta de lo que tiene que ser (o directamente es) secreto.
Y, claro, nos equivocamos.
Por eso es interesante leer Secrets Management: New Series. La serie se compone de tres capítulos:
Aquí se hace una panorámica por los accesos a diferentes APIs y la gestión de claves de acceso, los servicios automáticos, la automatización en el desarrollo (compilación, prueba, …), los datos cifrados y la información compartida.
Aquí se habla del almacenamiento de los secretos, la gestión de identidad y de accesos, los propios acceso y el uso y nuevamente la información compartida (en este caso, los propios secretos).
En el despliegue, hay que tener en cuenta si hablamos de servidores aislados, o arquitecturas cliente-servidor y, por supuesto, los temas de integración.