Saltar a contenido

Gestión de secretos

Los secretos —credenciales de base de datos, claves de cifrado, tokens de acceso— son uno de los activos más sensibles de cualquier plataforma. En Dyncloud se gestionan con un gestor de secretos dedicado.

Principios

  • Nunca en claro: los secretos no se guardan en código, ni en ficheros de configuración, ni en texto plano. Viven cifrados en el gestor de secretos.
  • Acceso mínimo y bajo demanda: cada componente obtiene solo los secretos que necesita, y solo en el momento en que los necesita.
  • Custodia centralizada: existe un único punto de custodia y control, en lugar de credenciales dispersas.
  • Rotación: los secretos se pueden rotar (renovar) sin tener que rehacer el sistema, lo que limita la ventana de utilidad de una credencial comprometida.
  • Trazabilidad: el acceso a los secretos queda registrado.

Separación de credenciales

Cada entorno tiene sus propias credenciales. Las credenciales de un entorno no sirven para acceder a otro, lo que refuerza el aislamiento entre entornos.

Por qué importa

La mayoría de las brechas graves empiezan por una credencial filtrada. Al custodiar los secretos cifrados, entregarlos solo a quien los necesita y poder rotarlos, reducimos tanto la probabilidad como el impacto de ese escenario.