Secrets Management: Tools und Methoden zur Authentifizierung

Nicht-menschliche Identität und privilegierte Anmeldedaten, die als Geheimnisse bezeichnet werden, werden durch Praktiken, Tools und Prozesse geschützt, die als Geheimnisverwaltung bekannt sind. Zu diesen Geheimnissen gehören sensible Informationen in der digitalen Umgebung über IT-Netzwerke hinweg. Sie müssen gesichert werden und dürfen nur von vertrauenswürdigen Entitäten aufgerufen werden. Das Speichern, Übertragen und Prüfen von Geheimnissen kann kompliziert sein, da die digitale Umgebung komplex ist und sich ständig verändert. Umfassende, ganzheitliche, breite und automatisierte Lösungen bieten in der Regel die sicherste Umgebung und Best Practices für das Secrets-Management.

Definierte Verwaltung von Geheimnissen

Ein Geheimnis in der Tech-Welt bezieht sich auf digitale Authentifizierungstools und kann Folgendes umfassen:

• API-Key sowie weitere Anwendungsschlüssel und Anmeldedaten
• Automatisch generierte oder Benutzer Passwörter
• System-zu-System-Passwörter, einschließlich Datenbanken
• SSH-Schlüssel
• Private Verschlüsselungsschlüssel
• Private Zertifikate für sichere Kommunikation, Übertragung und Empfang von Daten, wie TLS und SSL
• RSA und zusätzliches Einmal-Passwort Gerät
• privilegiert Account Anmeldedaten

Die Verwaltung von Geheimnissen bezieht sich auf den Schutz dieser Geheimnisse, wobei nur autorisierte und authentifizierte Entitäten Zugriff auf sie erhalten. Secrets Management umfasst Richtlinien, Prozesse und Tools in einer digitalen Umgebung. Die IT kann Folgendes umfassen:

• Authentifizierung von Zugriffsanfragen mit nicht-menschlichen Anmeldedaten
• Automatisierte Verwaltung von Geheimnissen
• Consistent access Richtlinie
• Durchsetzung des Prinzips der geringsten Privilegien (Gewährleistung der geringstmöglichen Zugriffsebene)
• Häufiges Rotieren von Anmeldedaten und Geheimnissen
• Verwendung der rollenbasierten Zugriffskontrolle (RBAC) (Zugriff basierend auf der Rolle im Unternehmen ermöglichen)
• Aufrechterhaltung umfassender Audits und Nachverfolgung aller Zugriffe
• Entfernen von Geheimnissen aus ungeschützten Bereichen, einschließlich Code und Konfigurationsdateien

Die Verwaltung von Geheimnissen kann dazu beitragen, menschliche Fehler zu reduzieren und die Sicherheit von Anwendung und Pipeline zu gewährleisten.

Sicherheitsabfrage der Geheimverwaltung

Anwendungsgeheimnisse und digitale Berechtigungen Anmeldedaten sind Teil einer komplexen IT Infrastruktur, die sorgfältig verwaltet werden muss. Dies sind einige der Sicherheitsabfragen zum Thema Secrets Management:

• Das Scoping von Geheimnissen ist groß und oft ohne vollständige Übersicht. Geheimnisse befinden sich beispielsweise häufig in bestimmten Teilen des Teams oder des Unternehmens und sind nicht in der gesamten Infrastruktur sichtbar. Dies kann zu Sicherheitslücken und Sicherheitsabfragen mit Audit führen.  
• Anmeldedaten sind oft hartcodiert und leicht zu knacken. Anwendung und lOT Gerät werden regelmäßig mit Standard-Anmeldedaten ausgeliefert. DevOps-Tools haben oft Geheimnisse, die bereits in Dateien oder Skripten fest codiert sind. Dies kann zu Sicherheitsrisiken für die Automatisierung des Secrets-Managements führen.  
• Komplexe Infrastrukturen umfassen oft mehrere Cloud-Dienste, die alle über eigene Geheimnisse verfügen, die verwaltet werden müssen.  
• DevOps-Umgebungen basieren auf zahlreichen Skripten und Automatisierungsprozessen, die Geheimnisse erfordern, um ordnungsgemäß ausgeführt zu werden. Diese Geheimnisse müssen mithilfe bewährter Sicherheitspraktiken verwaltet werden.  
• Die Integration kann bei großen Infrastrukturen und Umgebungen schwierig sein. Tools, die zur Verwaltung von Geheimnissen verwendet werden, müssen gut mit anderen Tools in der Sicherheitstechnologie und mit allen Teilen des DevOps Stacks orchestriert werden können.  
• Der Remotezugriff und der autorisierte Zugriff von Drittanbietern müssen angemessen verwendet werden, und Geheimnisse müssen auch für diese Benutzer verwaltet werden.  

Bewährte Methoden für die Verwaltung von Geheimnissen

Einige der Probleme bei der Verwaltung von Softwaregeheimnissen sind die Geheimnisse selbst. Geheimnisse müssen stark sein, also sollten sie lang und komplex sein und regelmäßig geändert werden. Es gibt das menschliche Element beim Erstellen und Speichern von Geheimnissen, da Menschen oft die Ursache für durchgesickerte Geheimnisse sind. Durch die Automatisierung der Geheimnisverwaltung kann der Faktor des menschlichen Versagens aus der Gleichung herausgenommen werden. Passwörter sollten regelmäßig rotiert werden. Die Automatisierung kann dazu beitragen, dies zu erreichen und das Risiko von Leckagen zu verringern.
Zu den bewährten Methoden für die Geheimnisverwaltung gehören die folgenden:

• Identifizieren und verfolgen Sie alle Passwörter mit einem zentralen Managementsystem.
• Beseitigen Sie alle hartcodierten, eingebetteten und standardmäßigen Geheimnisse.
• Durchsetzung von Best Practices für die Sicherheit, einschließlich Einmal-Passwort für sensible Systeme, Passwort-Rotation, Separation of Privilege und Least Privilege (PoLP).
• Weiten Sie die Geheimnisverwaltung auf Partner und Anbieter aus und stellen Sie sicher, dass auch Dritte die Best Practices einhalten.
• Verwenden Sie die privilegierte Sitzungsüberwachung, um Aktivitäten zu protokollieren, zu überwachen und zu prüfen.
• Analysieren Sie Geheimnisse kontinuierlich, um Bedrohungen und Anomalien zu erkennen. 
• Integrieren Sie Sicherheit in den DevOps Lebensstil und stellen Sie sicher, dass der Code keine einbetten Passwörter enthält.

Das Geheimnismanagement sollte automatisiert, integriert, ganzheitlich und umfassend sein und Ihre gesamte IT-Infrastruktur bis hin zu Dritten umfassen.

Lösungen für die Verwaltung von Geheimnissen

Geheimnisse sollten nicht an einem Ort gespeichert werden, an dem sie leicht gehackt oder von unbefugten Benutzern abgerufen werden können. Das bedeutet, dass sie aus dem Quellcode und den Anwendungssystemen herausgehalten werden müssen. Es gibt heute verschiedene Arten von Tools zur Verwaltung von Geheimnissen auf dem Markt, die zum Speichern und Pflegen von Geheimnissen dienen. Viele von ihnen bieten eine Methode oder einen externen Ort zum Speichern und Verwalten vertraulicher Informationen. Ein gutes Geheimnismanagement Lösungen verwalten Anwendungspasswörter und eliminieren auch hartcodierte Passwörter, verwalten Geheimnisse für Skripte und arbeiten über die gesamte IT Infrastruktur hinweg, nicht nur mit begrenzter Kapazität oder Nutzung. Diese Form des ganzheitlichen Secrets-Managements ist breiter und umfassender und macht die IT effektiver, sicherer und effizienter. Alle großen Cloud-Service-Provider haben einen Secrets Manager, aber wenn Sie mehrere Cloud-Dienste verwenden, kann ein externes Secrets Manager Tool helfen, die Dinge einfach zu halten. Die Verwendung eines Geheimverwaltungsdienstes kann auch dazu beitragen, die Dinge sicher, integriert und automatisiert zu halten. Tools, Praktiken und Prozesse zur Verwaltung von Geheimnissen können kombiniert werden. Mehrere Tools können zusammen verwendet werden, um die Dinge noch sicherer zu machen.

Anwendungsfall für Secrets Management

Jede Umgebung mit digitaler Authentifizierung Anmeldedaten kann von der Geheimnisverwaltung profitieren. Der richtige Umgang mit Geheimnissen kann Sie vor Cyberangriffen und Angreifern schützen, die sich Zugang zu privilegierten und sensiblen Informationen verschaffen wollen. Vier der häufigsten Anwendungsfälle für die Verwaltung von Geheimnissen sind wie folgt:

1. Geheime Verwaltung für Container: Container werden häufig von Engineering- und DevOps-Teams verwendet, um die Produktivität zu steigern und die Portabilität zu verbessern. Sie erfordern Geheimnisse für den Zugriff auf vertrauliche Informationen, werden jedoch nur kurzfristig verwendet, was ihre Verfolgung und Sicherung erschweren kann. Prozesse zur Geheimnisverwaltung können Containeranforderungen authentifizieren und helfen, den Zugriff auf kritische Informationen zu sichern und zu kontrollieren.  
2. Secret-Management für CI/CD-Pipelines: CI/CD-Pipeline-Tools sind auf Geschwindigkeit und Effizienz ausgelegt und nicht ohne Sicherheitsabfrage. Dabei handelt es sich um automatisierte Konfigurationsverwaltungstools, die Geheimnisse für den Zugriff auf geschützte Ressourcen wie HTTPS-Dienste, Datenbanken und SSH-Server benötigen. Sie haben oft Geheimnisse, die unsicher codiert sind. Mit der Geheimnisverwaltung können diese Standardgeheimnisse entfernt und gesichert werden.  
3. Secrets Management zur Absicherung von COTS und intern entwickelter Anwendung: Lösungen und Tools von Drittanbietern, IT Management-Tools sowie intern entwickelte Skripte und Anwendungen erfordern Privileged Access und werden oft mit fest codierten Anmeldedaten geliefert. Secrets Management Lösungen können diese hartcodierten Anmeldedaten entfernen und sicherere Secrets erstellen, die dann effektiv gespeichert, verwaltet und sicher rotiert werden können.  
4. Geheimnisverwaltung für automatisch skalierte und elastische Umgebungen: Cloud-Anbieter bieten automatische Skalierungsfunktionen an, die die Effizienz verbessern können, aber auch Sicherheitsabfragen bei der Verwaltung der Sicherheit schaffen. Praktiken zur Geheimnisverwaltung können mehr Sicherheit und Automatisierung in Echtzeit bieten und gleichzeitig die Notwendigkeit beseitigen, dass ein menschlicher Bediener Richtlinie manuell auf jeden Host anwenden muss. 

Bei der Verwaltung von Geheimnissen sollten bewährte Sicherheitsmethoden durchgesetzt werden. Die IT sollte nur so komplex wie nötig sein, damit das System trotzdem überschaubar ist. Geheime Verwaltungsprogramme, Richtlinien und Tools wurden entwickelt, um einen Teil des menschlichen Fehlers zu beseitigen und die Sicherheit zu verbessern, während die Benutzerfreundlichkeit erhalten bleibt.  

Referenzen

Sicherung der Pipeline durch Geheimnisverwaltung. (Juni 2021). Der Newstack.

Geheimes Management Design Entscheidungen: Theorie plus ein Beispiel. (März 2018). Sander Knape.

Secret Management Architectures: Das Gleichgewicht zwischen Sicherheit und Komplexität finden. (Juni 2017). Slalom.