Sicherung privilegierter Zugriffe in DevOps-Umgebungen
23. Januar 2019Fünf Empfehlungen für die Sicherung von DevOps-Prozessen liefert der Forschungsbericht „The CISO View: Protecting Privileged Access in DevOps and Cloud Environments“. Er basiert auf den Erfahrungswerten eines CISO-Panels aus Global-1000-Unternehmen.
Sicherheitsstrategien müssen unternehmensweite Maßnahmen zum Schutz privilegierter Zugriffe und Zugangsdaten umfassen – gerade auch im DevOps-Umfeld, in dem etliche Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code oft ungesichert sind. So hat auch der „Global Advanced Threat Landscape Report 2018“ von CyberArk ergeben, dass mehr als 70 Prozent der befragten Unternehmen noch keine „Privileged Access Security“-Strategie für DevOps-Umgebungen haben. Dieser Report liefert für die Umsetzung einer solchen Strategie fünf zentrale Empfehlungen, die auf realen Erfahrungswerten der teilnehmenden Verantwortlichen für die Informationssicherheit basieren:
1. Einbindung der Security-Teams in DevOps-Prozesse: Förderung der Zusammenarbeit von Security- und DevOps-Teams sowie Integration von DevOps- und Security-Tools und Practices in die Standardvorgehensweisen.
2. Priorisierung der Sicherung von DevOps-Tools und Infrastrukturen: Konzeption und Umsetzung von Richtlinien für die Tool-Auswahl und -Konfiguration, die Kontrolle des Zugriffs auf DevOps-Tools, die Umsetzung von Least-Privileges-Konzepten sowie die Sicherung und Überwachung von Infrastrukturen.
3. Etablierung unternehmensweit gültiger Anforderungen für die Sicherung von Zugangsdaten und Secrets: Aufbau eines zentralen Zugangsdaten-Managements, Erweiterung von Audit- und Überwachungssystemen, Elimination von festen Zugangsdaten in Tools und Applikationen sowie Entwicklung wiederverwendbarer Code-Module.
4. Einführung von Prozessen für das Testen von Applikationen: Integration automatisierter Code-Tests, kontinuierliche Behebung von Sicherheitsproblemen im Entwicklungsprozess und eventuell Aufsetzen eines „Bug Bounty“-Programms.
5. Evaluierung der Resultate des DevOps-Sicherheitsprogramms: Regelmäßige Überprüfung der Secrets-Management-Lösung und Ermittlung von Optimierungspotenzialen.
Der neue Report ist Teil der CISO-View-Industrieinitiative, die von CyberArk gesponsert wird. Im Rahmen der Initiative werden Forschungen durchgeführt und Leitfäden entwickelt, die Sicherheitsteams bei der Konzeption und Umsetzung effizienter Cyber-Security-Programme unterstützen. (rhh)
Hier geht es zum Report „The CISO View: Protecting Privileged Access in DevOps and Cloud Environments“