Zugriffe auf IaaS-Plattformen absichernSecrets erst im Moment der Anfrage erzeugen
25. Mai 2020Den DevOps Secrets Vault hat Thycotic um eine Just-in-Time-Funktion erweitert und erhöht auf diese Weise die Sicherheit beim Zugriff auf Cloud-Plattformen. Ab sofort unterstützt der „Hochgeschwindigkeitstresor“ die automatische Generierung dynamischer Secrets für die bekannten Infrastructure-as-a-Service (IaaS)-Plattformen Amazon Web Services (AWS), Microsoft Azure sowie Google Cloud Platform (GCP).
Der Anteil der Unternehmen, die auf Infrastructure-as-a-Service-Plattformen zurückgreifen, steigt kontinuierlich und beträgt heute rund 73 Prozent. Dies bietet Unternehmen viele Chancen, geht aber auch mit neuen Sicherheitsherausforderungen einher. Eine mögliche Schwachstelle liegt dabei in DevOps-Tools, welche die Teams im Rahmen der Software- und Anwendungsentwicklung auf IaaS-Plattformen einsetzen.
So umfassen diese Werkzeuge sowohl Open-Source- als auch kommerzielle Software, zahlreiche Plug-Ins für andere Tools sowie Abhängigkeiten von Bibliotheken. Dies macht die Werkzeuge einerseits zwar sehr leistungsfähig, begünstigt andererseits aber auch Fehlkonfigurationen und Sicherheitslücken, die die Integrität der Secrets gefährden. Man denke etwa an eine unsachgemäße Ablage der Secrets im Speicher oder der Festplatte sowie das unautorisierte Senden an Protokollierungssysteme.
Der DevOps Secrets Vault eliminiert diese Risiken, indem er dynamische Secrets just-in-time, also erst im Moment der Zugriffsanfrage, automatisch generiert und zur Verfügung stellt, deren Nutzung aber gleichzeitig zeitlich beschränkt. So laufen die Berechtigungsnachweise, die ein Benutzer oder eine Ressource, wie z.B. ein Konfigurationswerkzeug, anfragt, nach einer bestimmten Zeit automatisch ab, was das Risiko einer späteren Kompromittierung minimiert. Darüber hinaus ermöglichen dynamische Secrets auch eine granulare Autorisierung durch Cloud-Richtlinien. Je enger ein Secret definiert ist, d.h. je weniger Privilegien es umfasst und je kürzer es gültig ist, desto wertloser und uninteressanter ist es für einen Angreifer.
„Unternehmen werden ihre Workloads in diesem Jahr in Rekordtempo auf AWS, Azure und GCP migrieren und CISOs deshalb vor der Herausforderung stehen, mit den ihnen verfügbaren Lösungen alles Menschenmögliche zu unternehmen, um eine Offenlegung von Secrets zu verhindern“, so Jai Dargan, Vice President of Product Management bei Thycotic. „Bei DevOps Secrets Vault handelt es sich um einen Cloud-basierten Tresor, der die hohen Anforderungen von DevOps hinsichtlich Geschwindigkeit und Skalierbarkeit erfüllt und gleichzeitig eine Balance zwischen Agilität und Sicherheit erreicht.“
Integration in der DevOps-Pipeline
DevOps Secrets Vault ermöglicht es Unternehmen, Secrets für DevOps-Pipelines auf Unternehmensebene zu verwalten. Die Komplexität und Vielfalt der Tools innerhalb dieser Pipelines erfordern eine zentralisierte Verwaltung des privilegierten Zugriffs, um die Sicherheit aufrechtzuerhalten, das Zugriffsmanagement zu vereinheitlichen und die Kosten zu kontrollieren.
Unter Verwendung einer Cloud-basierten AWS-Architektur bietet DevOps Secrets Vault eine schnelle Bereitstellung sowie elastische Skalierbarkeit, da er speziell für die Hochgeschwindigkeitsanforderungen der dynamischsten DevOps-Umgebungen entwickelt wurde. Darüber hinaus unterstützt die Lösung ab sofort Secret-Zugriffe für die Konfigurations-Management-Tools Chef und Puppet und enthält Software Development Kits (SDKs) für Ruby und .NET. Außerdem lässt sich DevOps Secrets Vault auch mit Jenkins, Kubernetes, Terraform und Ansible integrieren und enthält SDKs für Java, Go und Python.
Absicherung des Zugriffs
Benutzer können sich bei DevOps Secrets Vault sowohl über AWS, Azure, GCP sowie Thycotic One authentifizieren. Die GCP-Unterstützung umfasst überdies die Möglichkeit, sich über Service- und Benutzerkonten, Google Compute Engines (GCE) und Google Kubernetes Engines (GKE) zu authentifizieren. Thycotic One ermöglicht Single-Sign-On und Zwei-Faktor-Authentifizierung sowohl über einen Time-based One-time Password Algorithmus (TOTP) als auch über SMS-Verfahren. (rhh)