Segurança · OWASP NHI Top 10

Cobertura completa contraOWASP Top 10 NHI

Os 10 principais riscos de Non-Human Identity catalogados pela OWASP em 2024-2025, mapeados aos controles concretos do CipherVault. Cada risco mitigado com features que estão em produção — não em roadmap.

10/10

Riscos NHI mitigados

100%

Em produção

OWASP NHI Top 10

10/10 mitigados

LGPD

Conformidade nativa

SOC 2 Type II

CC6.x + CC7.x mapeados

ISO 27001:2022

Annex A mapeado

CRIPTOGRAFIA

Pós-Quântica V2

v4.8

Adoção gradual de algoritmos pós-quânticos do NIST PQC em modo híbrido — nada quebra, nada exige migração brusca. A operação clássica continua funcionando enquanto Kyber e Dilithium são adicionados em paralelo para resistência a futuros computadores quânticos.

Hybrid Key-Wrap

RSA-OAEP-2048 ou ECDH-P256 combinado com ML-KEM-768 (Kyber) via /pqc/hybrid-classical/{wrap,unwrap}.

Dual-Signature

RSA-PSS-3072 + ML-DSA-65 (Dilithium-3) assinados simultaneamente via /pqc/dual-sign/{sign,verify}.

KMIP PQC objects

Clientes KMIP podem Create objetos ML-KEM e ML-DSA via TTLV — interop NetApp, Pure, Veeam, VMware.

Merkle Audit Checkpoints

Checkpoints horários da trilha de auditoria assinados com RSA-PSS-3072 + ML-DSA-87 (dual signature).

Compatível com NIST FIPS 203 (ML-KEM) e FIPS 204 (ML-DSA). Modo híbrido garante segurança clássica + resistência quântica simultaneamente.

Os 10 riscos NHI e como o CipherVault mitiga cada um

Mapeamento honesto: cada risco listado com as features concretas que o endereçam, sem promessas vagas.

NHI1

MITIGADO

Improper Offboarding

Credenciais e identidades não-humanas que continuam ativas após o workload sair de operação.

Features do CipherVault

Lease auto-expire (HARD_MAX_TTL ≤24h)

Inactivity Reaper (scheduler 30/90d com warn + revoke)

KMIP lifecycle state machine

CRL X.509 + OCSP em tempo real

Como mitiga

Credenciais e certificados expiram ou são revogados automaticamente quando a NHI fica inativa. Offboarding manual não é necessário para evitar acesso legado.

NHI2

MITIGADO

Secret Leakage

Secrets expostos em repositórios, logs, configurações ou dumps de banco.

Features do CipherVault

CI/CD Scanner com 8 ferramentas (Gitleaks, TruffleHog, Semgrep, etc)

Guardian Drift Detection SHA-256 K8s↔CV

Hardcoded-Secret-Env Webhook bloqueia deploys

API com audit trail em cada /view

Como mitiga

Vazamentos detectados em CI/CD e repositórios antes do deploy. K8s admission webhook bloqueia pods com secrets em plaintext. Valores nunca aparecem em logs GET.

NHI3

MITIGADO

Vulnerable Third-Party NHI

NHIs de fornecedores, SaaS ou contratistas comprometidos podem virar vetor de ataque.

Features do CipherVault

Plugin SDK type-reserved (17 tipos built-in)

Verificação Ed25519 (CV_PLUGIN_TRUSTED_KEYS)

Cloud integrations com IP allowlist

Self-rotation 24h em third-party APIs

Como mitiga

Extensões comprometidas são bloqueadas por type-reservation + signature. Credenciais de terceiros são auto-rotacionadas a cada 24h, reduzindo a janela de exposição.

NHI4

MITIGADO

Insecure Authentication

Métodos de autenticação fracos: passwords sem MFA, OAuth ROPC, credenciais hardcoded.

Features do CipherVault

mTLS X.509 + DPoP RFC 9449 + MFA TOTP/FIDO2

OIDC Federation (CI/CD sem pre-shared)

Workload Identity (K8s SA / AWS IAM / GCP / Azure MSI / SPIFFE)

TEE attestation (Nitro / SGX / SEV-SNP)

Como mitiga

Auth methods modernos não-deprecados. CI/CD usa id_token efêmero, não credenciais. Workloads autenticam via identidade nativa de cloud + attestation hardware.

NHI5

MITIGADO

Overprivileged NHI

Identidades não-humanas com excesso de permissões — não aplica princípio do menor privilégio.

Features do CipherVault

RBAC vault-aware (reader / contributor / owner)

IAM com 22 permissões granulares

AppConnection scope (IP + cert SAN + vault)

Guardian bloqueia privileged-critical-secret combo

Como mitiga

Menor privilégio estrutural: AppConnections veem apenas seus vaults. Dynamic Secrets usam roles com creation_statements mínimos. SSH principals com force_command.

NHI6

MITIGADO

Insecure Cloud Deployment

Configurações de IAM ou cloud expostas: buckets públicos, roles mal escopadas, chaves no Git.

Features do CipherVault

OIDC Federation para 5 plataformas CI/CD

Workload Identity nativa (K8s SA / AWS / GCP / Azure)

Dynamic Secrets TTL ≤24h em 17 engines

Argo CD Config Management Plugin

Como mitiga

Pipelines trocam id_token por cert bundle em runtime. K8s SA via TokenReview. GCP/Azure MSI automático. Nenhuma credencial estática em git ou variável de ambiente.

NHI7

MITIGADO

Long-Lived Secrets

Secrets que sobrevivem semanas, meses ou anos — janela enorme de exposição em caso de vazamento.

Features do CipherVault

Dynamic Secrets TTL ≤24h em 17 engines

Auto-rotation com ciclo de 24h

SSH CA com KRL (revogação em tempo real)

PKI com CRL + OCSP

Como mitiga

Hard cap de 24h impossível de bypass (HARD_MAX_TTL_SEC). Credenciais cloud auto-rotacionam. SSH/PKI revogam em tempo real. Stale-rotation alerta Guardian.

NHI8

MITIGADO

Environment Isolation

Falta de separação efetiva entre ambientes (dev / hml / staging / prd) permite contaminação.

Features do CipherVault

Vault.environment (dev / hml / staging / prd)

Config inheritance + branch configs por ambiente

Multi-region sharding por tenant

Guardian bloqueia cross-namespace sem RBAC

Como mitiga

Vaults de produção rejeitam secrets de dev. Cada ambiente tem NHIs próprias. Multi-cluster federation isola por cluster_id. Mount cross-namespace bloqueado.

NHI9

MITIGADO

NHI Reuse

Mesma identidade não-humana compartilhada entre múltiplas aplicações ou serviços.

Features do CipherVault

AppConnections per-app (client_id + secret único)

Dynamic Secrets com username fresh por lease

Workload Identity attestation binding

Cross-pod Reuse Detector (scheduler 6h)

Como mitiga

Cada app ganha identidade única. Dynamic Secret cria username novo a cada lease (cv_<role>_<random>). Detector sinaliza qualquer secret usado por >3 pods cross-app.

NHI10

MITIGADO

Human Use of NHI

Humanos usando service accounts ou tokens de máquina ao invés de sua identidade individual.

Features do CipherVault

Audit log distinguindo user_email vs api_token

Dual-control N-de-M em operações destrutivas

Web Console JWT-only (NHIs rejeitadas)

Human-Use Anomaly Detector (UA + horário + burst + IP)

Como mitiga

Audit trail diferencia humano/NHI claramente. Operações destrutivas exigem aprovação humana. Detector com 4 sinais (score 0-100, threshold 60) flagga uso anômalo.

Quer ver o mapeamento completo?

Nossa equipe técnica pode demonstrar cada controle em ação no seu ambiente, com documentação para auditoria (SOC 2, ISO 27001, LGPD).