¿Qué es Secretos efímeros?

El principio que subyace a los secretos efímeros es que la mejor forma de proteger los datos sensibles es garantizar que no existan cuando ya no se necesitan. Cada momento que un secreto persiste representa un posible objetivo: podría descubrirse en una brecha, ser accedido por un usuario no autorizado o filtrarse a través de una copia de seguridad o un archivo de log.

Los secretos efímeros contrastan con las credenciales de larga duración, como las claves de API permanentes o las contraseñas estáticas. Aunque las credenciales permanentes son cómodas, acumulan riesgo con el tiempo. Una clave de API creada hace un año y compartida por Slack ha tenido un año de exposición en historiales de chat, copias de seguridad y entre todos los que se unieron a ese canal desde entonces. Una credencial efímera utilizada para una única entrega y luego destruida tiene una superficie de ataque drásticamente menor.

El reto con los secretos efímeros es garantizar que la destrucción sea genuina y completa. Eliminar un mensaje en una aplicación de chat puede no eliminarlo de las copias de seguridad del servidor. Eliminar un archivo de una unidad en la nube puede dejarlo en una papelera de reciclaje. Los sistemas efímeros eficaces combinan el cifrado con la eliminación, de modo que aunque sobrevivan restos de los datos cifrados, el material de clave queda destruido.

Cómo usa Vaulted Secretos efímeros

Cada secreto en Vaulted es efímero por diseño. Los secretos se crean con un número máximo de visualizaciones (1, 3, 5, 10 o ilimitadas) y una expiración TTL (hasta 30 días). Redis rastrea de forma atómica el número de visualizaciones y elimina el registro cifrado cuando se alcanza el límite. El TTL garantiza la expiración automática independientemente de las visualizaciones. Una vez eliminado de Redis, el texto cifrado desaparece, y sin el texto cifrado la clave del fragmento de la URL resulta inútil: el secreto queda destruido de forma permanente.