Explorando a Gestão de segredos

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Use a Gestão de segredos da ServiceNow para gerenciamento granular de acesso às suas senhas para atender às suas necessidades de negócio.

    Importante:
    Os administradores devem ter a função de ver módulos e registros relacionados à Gestão de segredos. Para obter informações sobre a função de gestão de segredos, consulte Funções de gestão de segredos.

    Selecione a partir das versões Core e Enterprise da Gestão de segredos

    Escolha entre a Gestão de segredos Core e a Gestão de segredos Enterprise, dependendo das necessidades do seu negócio.

    Gestão de segredos Core Gestão de segredos Enterprise
    A Gestão de segredos Core está disponível para instalação em sua instância sem custo adicional. O plug-in fornece esses recursos.
    • Crie grupos de segredos no nível de pacote com módulos criptográficos Password2
    • Use o assistente de configuração de grupo de segredos para configurar rapidamente seus grupos de segredos.
    		 A Gestão de segredos Enterprise inclui funções adicionais para ajudar os administradores a criar e gerenciar grupos de segredos. O Enterprise fornece os seguintes recursos, além daqueles listados no Core.
    • Use controles de acesso granulares para criar grupos de segredos com base em qualquer um desses critérios.
      • Escopo
      • Tabela
      • Coluna
      • Registro
    • Crie segredos acessíveis ao cliente, que são criptografados usando sua própria chave, inacessível para ServiceNow.
    • Use o painel da Gestão de segredos para revisar os grupos de segredos configurados em sua instância e aprender sobre possíveis problemas de segurança.
    Nota:
    A Gestão de segredos Enterprise é um plug-in pago que a equipe da ServiceNow deve ativar em sua instância de produção.

    Use grupos secretos para organizar seus segredos

    Use a Gestão de segredos para organizar seus segredos em grupos e aplique políticas de acesso a esses segredos no nível de grupo.

    Grupo secreto básico
    Esses grupos se aplicam a todos os segredos em um escopo. Esses segredos são descriptografados por um módulo criptográfico comum e políticas de acesso ao módulo.
    Grupo secreto com critérios
    Grupos secretos com critérios funcionam da mesma forma que um grupo secreto básico, mas refinam ainda mais o que está incluído usando critérios. Esses critérios incluem:
    • Escopo da aplicação
    • Pacote
    • Tabela
    • Coluna secreta
    • Registro de filtro

    Grupos secretos de qualquer tipo podem se tornar acessíveis à instância ou ao cliente.

    Grupos secretos do lado da instância
    Os grupos secretos do lado da instância contêm segredos que podem ser descriptografados pela sua instância.
    Grupos secretos do lado do cliente
    Os grupos de segredos do lado do cliente usam um par de chaves públicas e privadas para garantir que os segredos só possam ser descriptografados pelo cliente. Ao criar um grupo de segredos acessíveis para o cliente, você carrega a chave pública na instância e mantém a chave privada no MID Server. A instância usa a chave pública para criptografar seus segredos, mas eles só podem ser descriptografados usando a chave privada.
    Nota:
    Para obter mais informações sobre esses tipos de grupo, consulte Aprender sobre a Gestão de segredos do lado do cliente.

    Usar grupos de segredos para um controle mais granular

    Embora a password2 esteja disponível na plataforma da ServiceNow, a Gestão de segredos fornece esses recursos adicionais.

    Controles de acesso granulares
    Password2
    Com password2, os administradores podem controlar o acesso a um escopo da aplicação, mas não podem restringir o acesso aos elementos dentro do escopo.
    Gestão de segredos
    Com a Gestão de segredos, os administradores podem restringir o acesso com base nos critérios que definem. Os tipos de critérios podem ser baseados em critérios como pacote, tabela ou coluna.
    Armazenamento seguro Para grupos secretos do lado do cliente, a Gestão de segredos usa um novo esquema de criptografia. Neste esquema de criptografia, a ServiceNow não salva a chave de criptografia. Por este motivo, a segurança dos seus dados não depende da segurança da ServiceNow.

    Aplicar políticas de acesso ao módulo aos seus grupos

    Depois de agrupar seus segredos em um grupo secreto, você pode aplicar políticas que determinam como os usuários podem acessar esses segredos em um nível de grupo. As políticas de acesso ao módulo são os mecanismos de controle de acesso que você aplica aos módulos criptográficos para definir controles no nível de instância, como um intervalo de tempo de validade para a chave criptográfica. Para obter mais informações sobre políticas de acesso ao módulo, consulte Visão geral da política de acesso ao módulo.

    Tabelas instaladas com a Gestão de segredos

    A Gestão de segredos adiciona ou modifica essas tabelas.

    Novas tabelas
    [sn_sm_secret_group] Armazena grupos secretos
    [sn_sm_secret_group_criteria] Armazena grupos secretos de critérios
    [sn_sm_secrets] Armazena segredos encapsulados
    [sn_sm_identity_group] Define o grupo de identidades para mapeamento de um grupo de identidades para a chave pública
    [sys_kmf_wrapped_module_key] Armazena as chaves criptográficas simétricas encapsuladas
    Tabelas modificadas
    [sys_kmf_crypto_module] Tipo de módulo criptográfico adicionado. (Módulo criptográfico de identidade ou módulo criptográfico de grupo secreto)
    [sys_kmf_module_key]
    • Armazena a chave de criptografia secreta conceitual (sem material de chave)
    • Armazena a chave pública da identidade
    [sys_kmf_crypto_caller_policy] Novo tipo de política de acesso ao módulo adicionado