Just-in-Time (JIT) secrets delivery

  • 1 minuto(s) lido(s)
Prev Next

A entrega de segredos Just-in-Time (JIT) é uma abordagem de segurança onde credenciais, segredos ou tokens privilegiados são disponibilizados apenas no momento do uso legítimo, nunca sendo armazenados persistentemente nas aplicações, scripts ou infraestrutura. O Segura® implementa a entrega de segredos JIT através de APIs, agentes e ferramentas de automação, impondo o Zero Standing Privilege e minimizando o risco de exposição de credenciais.

Funcionalidades Principais

  • Credenciais Efêmeras: Os segredos existem apenas em tempo de execução e são invalidados após o uso ou expiração.
  • Injeção Dinâmica: Entrega para aplicações, contêineres ou scripts durante a execução/deploy.
  • Suporte API & Agente: Os segredos JIT são entregues via API, CLI, agente ou integrações.
  • Aplicação de Políticas: O acesso é governado por fluxos de trabalho de aprovação, RBAC e políticas de menor privilégio.
  • Revogação Imediata: As credenciais podem ser revogadas instantaneamente após a conclusão do trabalho, erro ou violação de política.
  • Auditoria Abrangente: Todos os eventos de acesso e entrega de segredos são registrados.

Casos de Uso

  • Pipelines CI/CD: Injeção JIT de segredos em trabalhos de build/deploy (por exemplo, Jenkins, GitLab, Azure DevOps).
  • Funções Serverless: Provisionamento em tempo de execução de chaves API/segredos para AWS Lambda, Azure Functions, etc.
  • Contêineres Dinâmicos: Injeção de credenciais de banco de dados/API em pods Kubernetes ou contêineres Docker no momento do início.
  • Scripts de Automação: Scripts que obtêm segredos do Segura na execução, nunca os armazenando em disco.
  • Tarefas de Curta Duração: Credenciais temporárias para trabalhos agendados, testes ou sessões privilegiadas just-in-time.

Exemplo de workflow API/Agente

  • Endpoint: POST /api/v4/secrets/jit-fetch
  • Autorização: Bearer {token}

Exemplo de solicitação

{
  "secret_id": "db-prod-123",
  "purpose": "deploy",
  "ttl": 300
}

Exemplo de resposta

{
  "status": "success",
  "secret": "S3cure!JIT!Value",
  "expires_at": "2025-05-28T14:45:00Z"
}

O segredo é válido por 5 minutos e é revogado/rotacionado após a conclusão do trabalho.