Saltar al contenido principal

Descripción general de rotación de credenciales

La rotación de credenciales es la práctica de reemplazar una contraseña privilegiada, clave SSH o token de forma programada o bajo demanda. Este artículo explica cómo funciona la rotación en VaultPAM y cómo configurar políticas de rotación.

Para obtener instrucciones paso a paso sobre cómo rotar una credencial manualmente ahora mismo, consulte Rotar una credencial.

Qué significa rotación

Cuando se rota una credencial, VaultPAM genera un nuevo secreto y actualiza el valor almacenado en el Safe. El secreto antiguo se descarta. Si la credencial está vinculada a una cuenta administrada en un sistema de destino, VaultPAM también inserta el nuevo valor en ese sistema.

La rotación reduce la ventana de exposición: incluso si se compromete una credencial, se vuelve inválida después de la siguiente rotación.

Rotación manual vs automática

ModoCuándo ocurreQuién lo activa
ManualBajo demandaOperador o Administrador desde la vista de Safe
AutomáticaSegún un programa configuradoMotor de rotación de VaultPAM
Activada por eventoDespués de que finaliza una sesión o un evento específicoConfigurable por Safe

Establecimiento de la frecuencia de rotación

La frecuencia de rotación se configura por Safe:

  1. Vaya a Safes y abra el Safe que desea configurar.
  2. Seleccione Settings > Rotation policy.
  3. Establezca el intervalo de rotación (diariamente, semanalmente, mensualmente o personalizado en días).
  4. Opcionalmente, active Rotate after session para rotar la credencial automáticamente al final de cada sesión.
  5. Guarde la política.

Estado de éxito: El Safe muestra la próxima fecha y hora de rotación programada. Los eventos de rotación aparecen en el registro de auditoría.

Justificación de cumplimiento normativo

La rotación regular de credenciales es requerida o recomendada por:

  • NIS2 Artículo 21 -- medidas de control de acceso y privilegio mínimo
  • SOC 2 CC6.1 -- controles de acceso lógico
  • CIS Control 5 -- gestión de cuentas

Una rotación máxima de 90 días es una línea base común para cuentas privilegiadas. Para cuentas de servicio con extracción automatizada, se recomiendan intervalos más cortos (7-30 días).

Artículos relacionados