Descripción general de rotación de credenciales
La rotación de credenciales es la práctica de reemplazar una contraseña privilegiada, clave SSH o token de forma programada o bajo demanda. Este artículo explica cómo funciona la rotación en VaultPAM y cómo configurar políticas de rotación.
Para obtener instrucciones paso a paso sobre cómo rotar una credencial manualmente ahora mismo, consulte Rotar una credencial.
Qué significa rotación
Cuando se rota una credencial, VaultPAM genera un nuevo secreto y actualiza el valor almacenado en el Safe. El secreto antiguo se descarta. Si la credencial está vinculada a una cuenta administrada en un sistema de destino, VaultPAM también inserta el nuevo valor en ese sistema.
La rotación reduce la ventana de exposición: incluso si se compromete una credencial, se vuelve inválida después de la siguiente rotación.
Rotación manual vs automática
| Modo | Cuándo ocurre | Quién lo activa |
|---|---|---|
| Manual | Bajo demanda | Operador o Administrador desde la vista de Safe |
| Automática | Según un programa configurado | Motor de rotación de VaultPAM |
| Activada por evento | Después de que finaliza una sesión o un evento específico | Configurable por Safe |
Establecimiento de la frecuencia de rotación
La frecuencia de rotación se configura por Safe:
- Vaya a Safes y abra el Safe que desea configurar.
- Seleccione Settings > Rotation policy.
- Establezca el intervalo de rotación (diariamente, semanalmente, mensualmente o personalizado en días).
- Opcionalmente, active Rotate after session para rotar la credencial automáticamente al final de cada sesión.
- Guarde la política.
Estado de éxito: El Safe muestra la próxima fecha y hora de rotación programada. Los eventos de rotación aparecen en el registro de auditoría.
Justificación de cumplimiento normativo
La rotación regular de credenciales es requerida o recomendada por:
- NIS2 Artículo 21 -- medidas de control de acceso y privilegio mínimo
- SOC 2 CC6.1 -- controles de acceso lógico
- CIS Control 5 -- gestión de cuentas
Una rotación máxima de 90 días es una línea base común para cuentas privilegiadas. Para cuentas de servicio con extracción automatizada, se recomiendan intervalos más cortos (7-30 días).