Com o crescimento exponencial das machine identities em ambientes cloud, empresas relatam ganhos significativos de produtividade ao eliminar o uso de credenciais estáticas.
Hoje, apenas sistemas legados ainda representam um elo fraco nessa cadeia.
Por décadas, organizações utilizaram segredos estáticos — como API keys, senhas e tokens — para identificar cargas de trabalho.
Embora essa prática ofereça rastreabilidade clara, ela configura um verdadeiro "pesadelo operacional": gestão manual dos ciclos de vida, agendas de rotação e riscos constantes de vazamento de credenciais, alertam especialistas em segurança.
Para enfrentar esse desafio, muitas empresas adotaram soluções centralizadas de secret management, como HashiCorp Vault e CyberArk.
Esses sistemas funcionam como intermediários universais para segredos entre diversas plataformas, mas mantêm o problema fundamental: a multiplicação de segredos estáticos que demandam cuidados constantes.
“Ter uma workload no Azure que precisa acessar dados no AWS S3 não é a melhor prática do ponto de vista da segurança”, comenta um engenheiro DevOps que gerencia um ambiente multicloud.
“A complexidade de autenticação e autorização entre nuvens torna difícil configurar isso de forma segura, especialmente se optarmos por simplesmente configurar a workload do Azure com chaves de acesso AWS.”
O motivo para a mudança
Estudos de caso em empresas mostram que a adoção de managed identities reduz em 95% o tempo gasto na gestão de credenciais por componente da aplicação.
Além disso, diminui em 75% o tempo necessário para entender os mecanismos de autenticação de cada plataforma, economizando centenas de horas por ano.
Mas como fazer a transição? E quais barreiras ainda impedem eliminar totalmente os segredos estáticos?
Soluções nativas das plataformas
As managed identities representam uma mudança de paradigma, passando do modelo “o que você tem” para o conceito “quem você é”.
Em vez de embutir credenciais fixas nas aplicações, as plataformas modernas oferecem serviços de identidade que fornecem credenciais de curta duração, rotacionadas automaticamente para workloads autenticadas.
Veja como grandes provedores cloud aplicam essa transformação:
- Amazon Web Services automatiza a provisão de credenciais por meio de IAM Roles, permitindo que aplicações obtenham permissões temporárias sem armazenar chaves estáticas;
- Microsoft Azure disponibiliza Managed Identities, que permitem autenticar em serviços como Key Vault e Storage sem que os desenvolvedores precisem gerenciar strings de conexão ou senhas;
- Google Cloud Platform oferece Service Accounts com funcionalidades cross-cloud, facilitando a autenticação entre diferentes ambientes cloud;
- GitHub e GitLab lançaram autenticação automatizada para pipelines de desenvolvimento, eliminando a necessidade de armazenar credenciais cloud em ferramentas de desenvolvimento.
A realidade híbrida
Apesar dos avanços, especialistas ressaltam que as managed identities não resolvem todos os desafios de autenticação.
APIs de terceiros ainda dependem de API keys, sistemas legados podem não integrar modern identity providers, e autenticação entre organizações pode requerer segredos compartilhados.
“Utilizar um secret manager melhora muito a segurança dos sistemas que dependem de segredos compartilhados, mas seu uso intenso mantém a dependência desses segredos, em vez de se apoiar em identidades fortes”, explica um pesquisador da área.
O objetivo não é eliminar os secret managers, mas sim reduzir drasticamente seu uso.
Empresas inteligentes estão diminuindo sua dependência de segredos estáticos entre 70% e 80% com managed identities, adotando gerenciamento robusto de segredos apenas para os casos remanescentes.
Assim, constroem arquiteturas resilientes que combinam o melhor dos dois mundos.
O desafio da descoberta de identidades não humanas
Grande parte das organizações não tem visibilidade sobre seu panorama atual de credenciais.
Equipes de TI frequentemente encontram centenas ou milhares de API keys, senhas e tokens espalhados pela infraestrutura, sem clareza sobre quem são os responsáveis ou como são usados.
“Não dá para substituir o que não conseguimos enxergar”, explica Gaetan Ferry, pesquisador de segurança na GitGuardian.
“Antes de implementar sistemas modernos de identidade, é fundamental entender exatamente quais credenciais existem e seu padrão de uso.”
A plataforma NHI (Non-Human Identity) Security, da GitGuardian, foi desenvolvida para esse desafio.
Ela oferece visibilidade completa das credenciais existentes antes da adoção de managed identities.
Com essa ferramenta, é possível:
- Mapear dependências entre serviços e segredos;
- Identificar candidatos para migração a identidades gerenciadas;
- Avaliar riscos relacionados ao uso atual de segredos;
- Planejar migrações estratégicas em vez de mudanças cegas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...