O Que É Rotação de Secrets? Trocar Credenciais Antes que Vazem
Rotação de secrets significa substituir uma credencial por uma nova de forma agendada, para que qualquer cópia que um atacante possa ter pare silenciosamente de funcionar.
Um secret que nunca muda é um secret que, uma vez vazado, funciona para sempre. A rotação quebra isso. Ao substituir tokens, chaves e senhas regularmente, você limita por quanto tempo uma credencial roubada é útil e força qualquer vazamento a expirar. A parte difícil é rotacionar sem quebrar os sistemas que dependem do valor antigo.
Por que a rotação importa
Vazamentos costumam ser silenciosos: uma chave acaba em um log, um backup ou no laptop de um ex-funcionário, e ninguém sabe. A rotação assume que vazamentos acontecem e limita sua vida útil. Uma rotação de 30 dias significa que uma chave roubada está morta em um mês, mesmo que o vazamento nunca seja detectado.
Rotação manual vs automatizada
A rotação manual é propensa a erros e tende a ser pulada. A rotação automatizada, conduzida por um secrets manager, gera um novo valor, atualiza os consumidores e aposenta o antigo sem intervenção humana. A automação é o que torna a rotação frequente realista.
O problema da sobreposição
A rotação raramente vira instantaneamente. Por uma janela, tanto a credencial antiga quanto a nova precisam ser válidas para que jobs em andamento não falhem. Managers lidam com isso com secrets versionados: publicam a nova, deixam os consumidores pegá-la, depois revogam a antiga após a janela de sobreposição.
Rotação em pipelines de CI
Pipelines devem sempre buscar o secret atual no início do job em vez de cachear um valor. Assim, quando a rotação acontece, a próxima execução automaticamente pega a nova credencial sem mudança no pipeline. Secrets hardcodados ou cacheados por muito tempo derrotam a rotação por completo.
A forma mais forte: nenhuma rotação necessária
Credenciais emitidas frescas para cada job e descartadas no fim do job são, na prática, rotacionadas continuamente. Tokens OIDC por job nunca vivem o suficiente para precisar de uma política de rotação, e é por isso que credenciais efêmeras são o objetivo final.
Principais conclusões
- A rotação limita por quanto tempo uma credencial vazada continua útil ao substituí-la de forma agendada.
- A rotação automatizada e versionada lida com a janela de sobreposição sem quebrar jobs.
- Pipelines devem buscar o secret vivo a cada execução; credenciais por job rotacionam continuamente.