Gizli Bilgi Yönetimi (Secrets Management) Nedir?
İngilizce: Secrets Management
Gizli bilgi yönetimi, API anahtarı, sertifika ve parola gibi hassas değerlerin güvenli saklanması, dağıtılması ve döndürülmesidir.
Gizli Bilgi Yönetimi (Secrets Management) Nedir?
Gizli bilgi yönetimi, uygulama sırlarının kod deposuna, geliştirici bilgisayarına veya loglara dağılmasını engelleyen süreç ve araçlar bütünüdür. API anahtarı, veritabanı parolası, özel anahtar, webhook imza sırrı ve TLS sertifikası bu kapsama girer.
Sağlıklı bir modelde sırlar şifreli bir kasada saklanır, uygulamalara ortam veya çalışma zamanı üzerinden kısa kapsamlı erişimle verilir ve erişimler kayda alınır. API key gibi değerler sadece ihtiyaç duyan servise tanımlanır; üretim, staging ve geliştirme environment değerleri birbirinden ayrılır.
Temel Pratikler
En önemli pratikler sırları repoya koymamak, varsayılan değerleri güvenli tutmak, erişimi en az yetkiyle vermek, düzenli rotasyon yapmak ve sızıntı taraması kullanmaktır. CI/CD sistemleri, container platformları ve bulut sağlayıcıları genellikle kendi secrets mekanizmalarını sunar; kritik ortamlarda merkezi vault veya KMS entegrasyonu tercih edilebilir.
Zero Trust yaklaşımında sır yönetimi kimlik, cihaz ve servis politikalarıyla birlikte düşünülür. Bir sır sızdığında sadece yeni değer üretmek yetmez; nerede kullanıldığını, hangi izinlere sahip olduğunu ve hangi loglarda iz bırakmış olabileceğini hızlıca görmek gerekir.
İlgili Terimler
API key, uygulama veya geliştiriciyi tanımlayan; kota takibi, erişim sınırı ve basit sunucu-sunucu güvenliği için kullanılan anahtardır.
Ortam YönetimiOrtam yönetimi, geliştirme, test, staging ve production ortamlarının ayar, veri ve sürümlerini kontrollü biçimde ayırır.
Zero TrustZero Trust, ağ konumuna güvenmek yerine her kullanıcı, cihaz ve isteği kimlik, bağlam ve yetkiye göre sürekli doğrulayan güvenlik modelidir.