Garantindo a Segurança das Credenciais na Instância ServiceNow: Uma Análise Detalhada
En español
Garantindo a Segurança das Credenciais na Instância ServiceNow: Uma Análise Detalhada
No cenário atual de segurança cibernética, proteger as credenciais de acesso aos sistemas é de extrema importância. No ambiente ServiceNow, uma abordagem rigorosa é adotada para garantir que as credenciais sejam armazenadas e gerenciadas de forma segura, mantendo a integridade e a confidencialidade dos dados. Neste artigo, exploraremos as práticas de segurança relacionadas ao armazenamento e uso de credenciais na instância ServiceNow.
Armazenamento Local de Credenciais
Para armazenar credenciais localmente, um administrador do ServiceNow insere as credenciais usando a interface web da plataforma. As credenciais são transmitidas por uma conexão segura TLS para a instância ServiceNow. Ao receber as credenciais, a instância ServiceNow as criptografa imediatamente em memória usando sua chave de instância exclusiva e armazena as credenciais criptografadas no banco de dados do ServiceNow. É importante ressaltar que uma vez que uma credencial é inserida, ela não pode ser exibida novamente.
Quando um Servidor MID (MID Server) precisa de uma credencial, ele envia uma solicitação por sua conexão TLS para a instância ServiceNow. A instância ServiceNow recupera a credencial do banco de dados e a descriptografa usando a chave de instância do ServiceNow. Em seguida, imediatamente, a instância ServiceNow recriptografa a credencial usando a chave de criptografia pública RSA2048 do MID Server e envia a chave criptografada para o MID Server através da conexão TLS. O MID Server mantém a credencial criptografada na memória, decodificando-a apenas no ponto de uso. Mais uma vez, o MID Server nunca escreve essas credenciais em disco ou em qualquer outro local de armazenamento de arquivos.
Armazenamento Externo de Credenciais
Nesta configuração, o MID Server é integrado diretamente a um repositório externo de credenciais, instalando arquivos JAR apropriados do CyberArk ou HashiCorp e APIs no MID Server. Isso permite que o MID Server recupere credenciais do repositório externo usando um ID de credencial.
O fluxo para credenciais externas é semelhante ao armazenamento local de credenciais, com a instância ServiceNow fornecendo IDs de credenciais em vez de credenciais criptografadas. Um administrador do ServiceNow insere IDs de credenciais que são armazenados no banco de dados da instância ServiceNow. Quando o MID Server precisa de uma credencial, ele envia uma solicitação por sua conexão TLS para a instância ServiceNow, que recupera e retorna o ID de credencial correspondente. O MID Server então usa este ID de credencial para recuperar a credencial do repositório externo de credenciais.
Descoberta sem Credencial
Além da descoberta baseada em credenciais, o ITOM Visibility também suporta a descoberta sem credencial usando agentes embutidos instalados nos alvos de descoberta, proporcionando uma robusta descoberta de confiança zero. Isso é feito usando o Coletor de Cliente de Agente ServiceNow (ACC), uma tecnologia de agente extensível que fornece tanto capacidades de descoberta quanto monitoramento. Com o ACC, os agentes iniciam todas as comunicações com o MID Server, enviando informações de descoberta por conexões WebSocket criptografadas com TLS. Isso significa que não há necessidade de armazenar credenciais no MID Server ou abrir portas de firewall internas.
Os agentes ACC são executados como usuários não privilegiados no alvo e impedem que outras contas não privilegiadas leiam ou modifiquem arquivos de configuração do agente. Os agentes também criptografam localmente informações sensíveis na memória, como senhas do MID Server e parâmetros de linha de comando sensíveis. Parâmetros de linha de comando sensíveis também são ofuscados ao serem exibidos.
Esse mecanismo de descoberta baseado em push é ideal para arquiteturas microsegmentadas, pois evita a necessidade de identificar e periodicamente buscar informações de descoberta em um grande número de alvos de descoberta. O ACC também fornece suporte out-of-the-box para uma ampla gama de componentes de infraestrutura, incluindo sistemas operacionais (Linux, Windows), servidores web (Tomcat, IIS e Apache), servidores de aplicativos (JBoss, WebSphere e WebLogic) e bancos de dados (Oracle, MySQL e MS SQL).
Requisitos de Acesso, Protocolos e Privilégios
Os seguintes itens se aplicam apenas à descoberta baseada em credenciais e não se aplicam ao uso de agentes ACC embutidos.
Varredura de Portas
Para identificar alvos de descoberta, cada MID Server realiza varreduras regulares de portas em suas faixas de IP configuradas. Isso significa que as portas internas que o MID Server varre precisam estar abertas. Uma lista completa dessas portas e protocolos associados pode ser encontrada aqui.
Descoberta Baseada em SNMP
Para habilitar a descoberta baseada em SNMP, cada MID Server precisa ser adicionado aos ACLs apropriados. O MID Server também requer acesso de somente leitura às strings de comunidade SNMP.
Hospedeiros Windows
Os MID Servers descobrem hospedeiros Windows usando acesso remoto do PowerShell sobre WinRM ou WMI. Ambos os protocolos exigem que o PowerShell esteja instalado no hospedeiro Windows remoto. O ServiceNow recomenda o uso do WinRM, pois este usa apenas as portas 5895 e 5896, enquanto o WMI usa uma ampla gama de portas dinâmicas de 1024 a 65535. Também recomendamos o uso do PowerShell 5.
O MID Server também precisa de acesso de leitura e gravação à partilha $admin do hospedeiro. Isso permite que ele recupere arquivos de configuração e arquivos de saída dos comandos que executa. Se a partilha $admin estiver desativada em um servidor protegido, o MID Server poderá recorrer ao uso de HTTP do hospedeiro remoto para o MID Server na porta 8585.
Garantir a segurança das credenciais na instância ServiceNow é essencial para proteger a integridade e a confidencialidade dos dados da sua organização. Ao seguir práticas rigorosas de armazenamento e gerenciamento de credenciais, como as mencionadas acima, as empresas podem mitigar os riscos de acesso não autorizado e violações de segurança. Além disso, ao utilizar recursos avançados, como a descoberta sem credencial por meio do ACC, as organizações podem aumentar a eficiência operacional sem comprometer a segurança.
Em última análise, a segurança das credenciais na instância ServiceNow não é apenas uma precaução, mas sim um elemento fundamental na construção de uma infraestrutura de TI robusta e confiável. Ao adotar abordagens proativas e investir em soluções de segurança eficazes, as organizações podem proteger seus ativos mais valiosos e garantir o sucesso a longo prazo de suas operações de TI.
