Si un ingeniero termina dejando una empresa, por su cuenta o por cualquier otro motivo, la empresa tendrá que trabajar rápidamente para cambiar todas sus claves para sus credenciales y componentes clave de aplicaciones.
Eso es una gran molestia, porque muchas veces es difícil saber dónde están almacenados, quién puede acceder a qué y cómo cambiar todo a gran escala, especialmente si la empresa es grande. Dane Schneider espera cambiar eso con un nuevo servicio llamado Envclave, una forma de crear una especie de repositorio encriptado internamente donde una empresa puede almacenar todas sus credenciales de API para facilitar su actualización, así como administrar quién tiene acceso a qué. Piense en ello como una especie de LastPass o 1Password, pero para credenciales importantes dentro de una empresa. Envkey se lanzará en la clase de invierno de 2018 de Y Combinator.
“En el último lugar donde trabajé, un compañero de trabajo fue despedido y mi gerente dijo que estaba bien, necesitamos cambiar todas las claves API en la infraestructura, y fue el viernes a las 4 p. m.”, dijo Schneider. “Tuve que decirle que eso no es algo que podamos hacer ahora mismo. Eso es un poco de una empresa. Había estado pensando en ese sentido, tenía la idea en mente, luego pensé, hombre, si tuviéramos algo que pudiéramos actualizar en un solo lugar, sería realmente más simple. Podríamos ocuparnos del problema de seguridad ahora mismo. compartiríamos [our keys] por correo electrónico o Slack, pero siempre se sintió como algo incorrecto en cuanto a la seguridad”.
Schneider es un fundador en solitario en Y Combinator, lo cual es un poco anómalo, pero la idea sonaba lo suficientemente inteligente dado que es un problema bastante grande entre las empresas, especialmente a medida que escalan. Los ingenieros pueden encontrarse con el problema de publicar accidentalmente sus credenciales en Github mientras actualizan un repositorio de código, lo que podría generar posibles problemas de seguridad para esa aplicación. La esperanza es que esto ofrezca a las empresas emergentes y a las empresas la oportunidad no solo de hacer que esas claves sean fáciles de administrar y actualizar, sino también de bloquearlas herméticamente para asegurarse de que algo así no suceda en primer lugar.
Cada empresa tiene su propia cuenta, con una interfaz de usuario donde una empresa puede comenzar a ingresar información de configuración para sus aplicaciones. También pueden importar desde otro sistema y luego invitar al resto de un equipo por correo electrónico y generar claves que Schneider llama Envkeys. Los usuarios pueden crear una clave de acceso de nivel de desarrollador, por ejemplo, y luego establecerla en un archivo env como uno en un proyecto de python, que siempre tendrá acceso a las últimas credenciales cada vez que alguien ejecute ese proyecto. Cuando se ejecuta una aplicación, obtendrá la configuración más reciente, la descifrará y la sincronizará. Hay niveles de acceso simples, donde alguien puede acceder para desarrollo y puesta en escena, o servidores o administradores que pueden invitar a personas adicionales.
Envkey almacena las claves API, que están encriptadas de extremo a extremo, y Schneider dice que la empresa no tiene acceso a la información. La esperanza es que las empresas carguen esa información y se sientan bien al almacenarla de forma segura y que puedan actualizar y cambiar rápidamente la información de credenciales según sea necesario. Schneider también quiere construir Envkey para que funcione en cualquier plataforma, en lugar de tenerlo anclado a una sola, como Amazon podría hacer para sus servicios web, por ejemplo.
Va a haber mucha competencia por este tipo de fruta madura para administrar esta información, dado que puede generar grandes dolores de cabeza para las empresas. Ya hay nuevas empresas como Hashicorp, que recaudó $ 40 millones en octubre del año pasado y, por supuesto, los principales proveedores de infraestructura pueden buscar construir algo similar en sus propios ecosistemas. Pero la esperanza de Schneider es que Envkey pueda tener un enfoque más simple y funcione en la mayoría de los entornos, lo que puede ayudar a convencer a los ingenieros, especialmente a medida que las empresas crecen, para comenzar a usarlo.
“[Products like Hashicorp’s vault] requiere un nivel bastante alto de experiencia en operaciones de desarrollador para configurarlo y ejecutarlo”, dijo Schneider. “A menos que esté preparado para hacer un proyecto bastante sustancial, es bastante difícil trabajar con él. Otra es que AWS tiene un servicio llamado almacén de parámetros, que puede funcionar bastante bien si vuelve a ser bastante inteligente con AWS y está utilizando los servicios de AWS para todo lo demás. Eso tiene sentido, pero también viene junto con la complejidad y el bagaje que tiene AWS en general. Hay muchas cosas que configurar. Hay una curva de aprendizaje bastante alta con eso”.
Source link