Segurança

11 ago, 2025

Segurança Efêmera e Zero Trust: A Nova Fronteira do SSH com OTP via Vault

Publicidade

Entendendo os fundamentos: Segurança Efêmera, Zero Trust e HashiCorp Vault

Segurança Efêmera

Segurança Efêmera é um conceito que propõe a utilização de credenciais temporárias, com ciclo de vida curto e controlado, que só existem durante o tempo estritamente necessário para sua finalidade. Isso reduz a janela de exposição de acessos sensíveis, evitando o acúmulo de credenciais persistentes que podem ser exploradas ou comercializadas por atacantes.

Zero Trust

Zero Trust (“confiança zero”) é um modelo de segurança que assume que nenhuma identidade — interna ou externa — é confiável por padrão. Em vez de autorizar acessos com base na localização ou status do dispositivo, o Zero Trust exige verificação contínua, políticas explícitas de acesso mínimo necessário e monitoramento constante.

Esse modelo é especialmente eficaz contra ataques de movimento lateral, uso indevido de credenciais privilegiadas e acessos indevidos por insiders.

HashiCorp Vault

O HashiCorp Vault é uma ferramenta de gerenciamento de segredos e controle de acesso que permite:

  • Distribuir credenciais efêmeras de forma centralizada;
  • Gerenciar políticas de segurança com rastreabilidade;
  • Auditar e revogar acessos em tempo real.

Quando integrado ao SSH via One-Time Password (OTP), o Vault se torna um aliado do Zero Trust e da segurança efêmera — garantindo que cada sessão SSH só ocorra com uma autorização explícita, única e rastreável.

O alerta real: ataque à Allianz Life

O ataque cibernético à Allianz Life Insurance Company, detectado em 16 de julho de 2025, expôs a fragilidade do uso de credenciais estáticas em ambientes de terceiros. Criminosos exploraram acessos em uma plataforma externa integrada aos sistemas da seguradora, o que permitiu o vazamento de dados sensíveis de aproximadamente 1,4 milhão de clientes.

Embora não tenha havido envolvimento interno direto, o incidente demonstrou como credenciais pouco protegidas e com validade prolongada podem ser reutilizadas por atacantes mesmo fora da infraestrutura principal da organização. A falta de autenticação dinâmica e visibilidade em tempo real permitiu que os acessos fossem mantidos de forma persistente e silenciosa por tempo suficiente para causar impacto significativo.

Esse tipo de incidente evidencia um risco recorrente na segurança da informação: o uso de credenciais estáticas em sistemas privilegiados e integrados, que muitas vezes são difíceis de revogar, não são auditadas continuamente e acabam se tornando alvos fáceis no ecossistema de fornecedores e integrações.

A solução? Substituir o modelo de confiança implícita por autenticação efêmera — com credenciais de uso único, validade curta e validadas dinamicamente. Exatamente o que Vault oferece.

Neste artigo, mostramos como implementar a autenticação dinâmica para acesso SSH via OTP com HashiCorp Vault, fortalecendo controles, rastreabilidade e automatização como resposta a ameaças reais como essa.

Por que autenticação efêmera faz a diferença?

Autenticações tradicionais baseadas em chaves SSH estáticas oferecem às equipes acesso persistente — e aos atacantes oportunidades de venda, troca ou comprometimento. Já o OTP via Vault transforma o acesso em algo:

  • Efêmero e único: cada autenticação gera um token temporário.
  • Validado no Vault: sem confiança implícita, cada acesso é verificado.
  • Auditoria completa: logs detalhados por contexto, usuário e validade.
  • Revogável instantaneamente: basta alterar políticas no Vault — sem a necessidade de substituição manual das chaves nos sistemas que as precisa utilizar.

Benefícios tangíveis do OTP via Vault + Zero Trust

  • Redução de chaves SSH persistentes.
  • Auditoria por acesso, com logs de quem fez, onde e quando.
  • Revogação imediata de acessos altos pela política no Vault.
  • Escalabilidade com integração em Terraform, Ansible e CI/CD.
  • Proteção real contra incidentes semelhantes a golpes bilionários.

Integração prática: OTP via Vault no acesso SSH

  1.  Habilite o motor SSH no Vault

vault secrets enable ssh
vault write ssh/roles/otp-role \
  key_type=otp \
  default_user=vault \
  cidr_list=192.168.0.0/16
  1. Crie uma política no Vault

# ssh-verify.hcl
path "ssh/verify" {
  capabilities = ["create", "update"]
}

 

vault token create -policy="ssh-verify" -ttl=720h
  1. No servidor SSH, configure o helper de verificação de OTP

#!/bin/bash
export VAULT_ADDR="https://vault.seudominio.com"
export VAULT_TOKEN="<TOKEN_COM_POLICY>"
ROLE="otp-role"
read -r OTP_RAW
OTP=$(echo -n "$OTP_RAW" | tr -d '\r\n[:space:]')
RESULT=$(vault write -address="$VAULT_ADDR" ssh/verify otp="$OTP" role="$ROLE" 2>&1)
if [ $? -eq 0 ]; then exit 0; else exit 1; fi
  1. Integre ao PAM (Linux)

No /etc/pam.d/sshd 

Adicione a seguinte linha no início do script:

auth    sufficient  pam_exec.so expose_authtok /usr/local/bin/vault-ssh-helper.sh

Importante: verifique se o SELinux está corretamente configurado para permitir a execução do helper via PAM. O SELinux pode bloquear o script, mesmo que esteja funcional.

Você pode ajustar as permissões com:

sudo semanage port -m -t ssh_port_t -p tcp 443
sudo semanage port -a -t ssh_port_t -p tcp 443 2>/dev/null || true

Ou analisar os bloqueios no log:

grep vault /var/log/audit/audit.log | audit2allow -M vaultpam
semodule -i vaultpam.pp

Reinicie o SSH:

sudo systemctl restart sshd
  1. Geração e uso de OTP

No cliente:

vault write ssh/creds/otp-role ip=192.168.1.10

Resolvido o JSON com a key → use-a como senha ao conectar via SSH:

ssh vault@192.168.1.10
# Cole a OTP

Resposta ao cenário real da Allianz Life

Se a Allianz Life e seus fornecedores estivessem utilizando autenticação SSH com OTP via Vault, o ataque teria sido muito mais difícil de executar: nenhuma credencial fixa para acesso direto a sistemas sensíveis existiria para ser reutilizada ou explorada. A autenticação efêmera por OTP protege contra:

  • Reutilização ou vazamento de credenciais — senhas estáticas mantidas em sistemas de terceiros tornam-se um ponto de falha crítico. Com OTP, as credenciais têm vida curta e uso único, tornando vazamentos inócuos.
  • Acessos persistentes e não rastreados — cada operação via SSH exigiria uma validação dinâmica com controle total pelo Vault, bloqueando movimentações não autorizadas ou persistentes.
  • Ataques laterais e movimentos furtivos — mesmo que um invasor consiga explorar um ambiente mal configurado, o tempo de acesso seria extremamente limitado, reduzindo drasticamente o potencial de dano.

Conclusão

Ao implementar OTP via Vault para SSH, você fortalece fortemente a segurança contra ataques de insider e credenciais comprometidas — como o golpe que atingiu o Banco Central. Com acesso efêmero, auditável e Zero Trust por design, sua infraestrutura se coloca à prova contra a próxima grande ameaça.

Comece pequeno, em servidores de staging, e evolua para um modelo robusto que protege pessoas e sistemas — antes que alguém tente “vender” seu acesso.