Der PAM-Spezialist Thycotic hat seinen „DevOps Secrets Vault“ um eine neue Just-in-Time-Funktion erweitert und erhöht auf diese Weise die Sicherheit beim Zugriff auf Cloud-Plattformen. Ab sofort unterstützt der Hochgeschwindigkeitstresor die automatische Generierung dynamischer Secrets für die bekannten Infrastructure-as-a-Service (IaaS)-Plattformen Amazon-Web-Services (AWS), Microsoft-Azure sowie Google-Cloud-Platform (GCP).
Der Anteil der Unternehmen, die auf Infrastructure-as-a-Service-Plattformen zurückgreifen, steigt kontinuierlich und beträgt heute rund 73 Prozent. Dies bietet Unternehmen viele Chancen, geht aber auch mit neuen Sicherheitsherausforderungen einher. Eine mögliche Schwachstelle liegt dabei in DevOps-Tools, welche die Teams im Rahmen der Software- und Anwendungsentwicklung auf IaaS-Plattformen einsetzen. So umfassen diese Werkzeuge sowohl Open-Source- als auch kommerzielle Software, zahlreiche Plug-Ins für andere Tools sowie Abhängigkeiten von Bibliotheken. Dies macht die Werkzeuge einerseits zwar sehr leistungsfähig, begünstigt andererseits aber auch Fehlkonfigurationen und Sicherheitslücken, die die Integrität der Secrets gefährden. Man denke etwa an eine unsachgemäße Ablage der Secrets im Speicher oder der Festplatte sowie das unautorisierte Senden an Protokollierungssysteme.
Der DevOps-Secrets-Vault von Thycotic eliminiert diese Risiken, indem er dynamische Secrets just-in-time, das heißt im Moment der Zugriffsanfrage, automatisch generiert und zur Verfügung stellt, deren Nutzung aber gleichzeitig zeitlich beschränkt. So laufen die Berechtigungsnachweise, die ein Benutzer oder eine Ressource, wie beispielsweise ein Konfigurationswerkzeug, anfragt, nach einer bestimmten Zeit automatisch ab, was das Risiko einer späteren Kompromittierung minimiert. Darüber hinaus ermöglichen dynamische Secrets auch eine granulare Autorisierung durch Cloud-Richtlinien. Je enger ein Secret definiert ist, das heißt je weniger Privilegien es umfasst und je kürzer es gültig ist, desto wertloser und uninteressanter ist es für einen Angreifer.
„Immer mehr Unternehmen nutzen die hybride Multi-Cloud, was bestehende Sicherheitsmodelle und konventionelle Ansätze für Privileged-Access-Management auf eine Belastungsprobe stellt“, so Jai Dargan, Vice President of Product Management bei Thycotic. „Wir wissen, dass Unternehmen ihre Workloads in diesem Jahr in Rekordtempo auf AWS, Azure und GCP migrieren werden und CISOs deshalb vor der Herausforderung stehen, mit den ihnen verfügbaren Lösungen alles Menschenmögliche zu unternehmen, um eine Offenlegung von Secrets zu verhindern. DevOps-Secrets-Vault ist ein Cloud-basierter Tresor, der die hohen Anforderungen von DevOps hinsichtlich Geschwindigkeit und Skalierbarkeit erfüllt und gleichzeitig eine Balance zwischen Agilität und Sicherheit erreicht. Mit den dynamischen Secrets setzen wir nun ein Just-in-Time-Modell für die Zugriffs-Verwaltung um, welches das Risiko von Kompromittierungen weiter verringert.“
Integration mit zusätzlichen Werkzeugen in der DevOps-Pipeline
DevOps-Secrets-Vault ermöglicht es Unternehmen, Secrets für DevOps-Pipelines auf Unternehmensebene zu verwalten. Die Komplexität und Vielfalt der Tools innerhalb dieser Pipelines erfordern eine zentralisierte Verwaltung des privilegierten Zugriffs, um die Sicherheit aufrechtzuerhalten, das Zugriffsmanagement zu vereinheitlichen und die Kosten zu kontrollieren. Unter Verwendung einer Cloud-basierten AWS-Architektur bietet DevOps-Secrets-Vault eine schnelle Bereitstellung sowie elastische Skalierbarkeit, da er speziell für die Hochgeschwindigkeitsanforderungen der dynamischsten DevOps-Umgebungen entwickelt wurde. Darüber hinaus unterstützt die Lösung ab sofort Secret-Zugriffe für die Konfigurations-Management-Tools Chef und Puppet und enthält Software-Development-Kits (SDKs) für Ruby und .NET. Außerdem lässt sich DevOps-Secrets-Vault auch mit Jenkins, Kubernetes, Terraform und Ansible integrieren und enthält SDKs für Java, Go und Python.
Absicherung des Zugriffs auf DevOps-Secrets-Vault
Benutzer können sich bei DevOps-Secrets-Vault sowohl über AWS, Azure, GCP sowie Thycotic-One authentifizieren. Die GCP-Unterstützung umfasst überdies die Möglichkeit, sich über Service- und Benutzerkonten, Google-Compute-Engines (GCE) und Google-Kubernetes-Engines (GKE) zu authentifizieren. Thycotic-One ermöglicht Single-Sign-On und Zwei-Faktor-Authentifizierung sowohl über einen Time-based One-time Password Algorithmus (TOTP) als auch über SMS-Verfahren.
Eine kostenloses Testversion des DevOps-Secrets-Vault kann hier angefordert werden.
#Thycotic
