Garantizando la seguridad de las credenciales en la instancia de ServiceNow: Un análisis detallado.
vesão em português
En el contexto actual de ciberseguridad, proteger las credenciales de acceso a los sistemas es de suma importancia. En el entorno de ServiceNow, se adopta un enfoque riguroso para garantizar que las credenciales se almacenen y administren de manera segura, manteniendo la integridad y la confidencialidad de los datos. En este artículo, exploraremos las prácticas de seguridad relacionadas con el almacenamiento y uso de credenciales en la instancia de ServiceNow.
Almacenamiento Local de Credenciales
Para almacenar credenciales localmente, un administrador de ServiceNow ingresa las credenciales utilizando la interfaz web de la plataforma. Las credenciales se transmiten a través de una conexión segura TLS a la instancia de ServiceNow. Una vez recibidas las credenciales, la instancia de ServiceNow las cifra de inmediato en la memoria utilizando su clave de instancia exclusiva y almacena las credenciales cifradas en la base de datos de ServiceNow. Es importante destacar que una vez que se ingresa una credencial, esta no puede ser visualizada nuevamente.
Cuando un Servidor MID (MID Server) necesita una credencial, envía una solicitud a través de su conexión TLS a la instancia de ServiceNow. La instancia de ServiceNow recupera la credencial de la base de datos y la descifra utilizando la clave de instancia de ServiceNow. Luego, de inmediato, la instancia de ServiceNow vuelve a cifrar la credencial utilizando la clave de cifrado pública RSA2048 del Servidor MID y envía la clave cifrada al Servidor MID a través de la conexión TLS. El Servidor MID mantiene la credencial cifrada en la memoria, descifrándola solo en el punto de uso. Una vez más, el Servidor MID nunca escribe estas credenciales en disco o en cualquier otro lugar de almacenamiento de archivos.
Almacenamiento Externo de Credenciales
En esta configuración, el Servidor MID se integra directamente con un repositorio externo de credenciales, instalando archivos JAR apropiados de CyberArk o HashiCorp y APIs en el Servidor MID. Esto permite que el Servidor MID recupere credenciales del repositorio externo utilizando un ID de credencial.
El flujo para las credenciales externas es similar al almacenamiento local de credenciales, con la instancia de ServiceNow proporcionando IDs de credenciales en lugar de credenciales cifradas. Un administrador de ServiceNow ingresa IDs de credenciales que se almacenan en la base de datos de la instancia de ServiceNow. Cuando el Servidor MID necesita una credencial, envía una solicitud a través de su conexión TLS a la instancia de ServiceNow, que recupera y devuelve el ID de credencial correspondiente. Luego, el Servidor MID utiliza este ID de credencial para recuperar la credencial del repositorio externo de credenciales.
Descubrimiento sin Credenciales
Además del descubrimiento basado en credenciales, ITOM Visibility también soporta el descubrimiento sin credenciales utilizando agentes integrados instalados en los objetivos de descubrimiento, proporcionando un robusto descubrimiento de confianza cero. Esto se logra mediante el Agente de Colección de Cliente de ServiceNow (ACC), una tecnología de agente extensible que proporciona capacidades tanto de descubrimiento como de monitoreo. Con el ACC, los agentes inician todas las comunicaciones con el Servidor MID, enviando información de descubrimiento a través de conexiones WebSocket cifradas con TLS. Esto significa que no es necesario almacenar credenciales en el Servidor MID ni abrir puertos de firewall internos.
Los agentes ACC se ejecutan como usuarios no privilegiados en el objetivo y evitan que otras cuentas no privilegiadas lean o modifiquen archivos de configuración del agente. Además, los agentes cifran localmente información sensible en la memoria, como contraseñas del Servidor MID y parámetros de línea de comando sensibles. Los parámetros de línea de comando sensibles también se ofuscan al mostrarse.
Este mecanismo de descubrimiento basado en push es ideal para arquitecturas microsegmentadas, ya que evita la necesidad de identificar y buscar periódicamente información de descubrimiento en un gran número de objetivos de descubrimiento. Además, ACC proporciona soporte out-of-the-box para una amplia gama de componentes de infraestructura, incluyendo sistemas operativos (Linux, Windows), servidores web (Tomcat, IIS y Apache), servidores de aplicaciones (JBoss, WebSphere y WebLogic) y bases de datos (Oracle, MySQL y MS SQL).
Requisitos de Acceso, Protocolos y Privilegios
Los siguientes elementos se aplican únicamente al descubrimiento basado en credenciales y no se aplican al uso de agentes ACC integrados.
Escaneo de Puertos
Para identificar objetivos de descubrimiento, cada Servidor MID realiza escaneos regulares de puertos en sus rangos de IP configurados. Esto significa que los puertos internos que el Servidor MID escanea deben estar abiertos. Puede encontrar una lista completa de estos puertos y protocolos asociados aquí.
Descubrimiento Basado en SNMP
Para habilitar el descubrimiento basado en SNMP, cada Servidor MID debe ser agregado a los ACL (Listas de Control de Acceso) apropiados. Además, el Servidor MID requiere acceso de solo lectura a las cadenas de comunidad SNMP.
Anfitriones Windows
Los Servidores MID descubren anfitriones Windows utilizando acceso remoto a través de PowerShell sobre WinRM o WMI. Ambos protocolos requieren que PowerShell esté instalado en el anfitrión Windows remoto. ServiceNow recomienda el uso de WinRM, ya que utiliza solo los puertos 5895 y 5896, mientras que WMI utiliza una amplia gama de puertos dinámicos de 1024 a 65535. También se recomienda el uso de PowerShell 5.
Además, el Servidor MID necesita acceso de lectura y escritura a la carpeta compartida $admin del anfitrión. Esto le permite recuperar archivos de configuración y archivos de salida de los comandos que ejecuta. Si el compartido $admin está desactivado en un servidor protegido, el Servidor MID puede recurrir al uso de HTTP del anfitrión remoto para el Servidor MID en el puerto 8585.
Asegurar la seguridad de las credenciales en la instancia de ServiceNow es esencial para proteger la integridad y confidencialidad de los datos de su organización. Al seguir prácticas estrictas de almacenamiento y gestión de credenciales, como las mencionadas anteriormente, las empresas pueden mitigar los riesgos de acceso no autorizado y violaciones de seguridad. Además, al utilizar recursos avanzados, como el descubrimiento sin credenciales a través de ACC, las organizaciones pueden aumentar la eficiencia operativa sin comprometer la seguridad.
En última instancia, la seguridad de las credenciales en la instancia de ServiceNow no es solo una precaución, sino un elemento fundamental en la construcción de una infraestructura de TI robusta y confiable. Al adoptar enfoques proactivos e invertir en soluciones de seguridad efectivas, las organizaciones pueden proteger sus activos más valiosos y garantizar el éxito a largo plazo de sus operaciones de TI.
