Thycotic hat seinen DevOps Secrets Vault um eine neue Just-in-Time-Funktion erweitert und erhöht auf diese Weise die Sicherheit beim Zugriff auf Cloud-Plattformen. Ab sofort unterstützt der Hochgeschwindigkeitstresor die automatische Generierung dynamischer Secrets für die bekannten IaaS-Plattformen Amazon Web Services (AWS), Microsoft Azure sowie Google Cloud Platform (GCP).
Der Anteil der Unternehmen, die auf Infrastructure-as-a-Service-Plattformen zurückgreifen, steigt kontinuierlich und beträgt heute rund 73 Prozent. Dies bietet Unternehmen viele Chancen, geht aber auch mit neuen Sicherheitsherausforderungen einher. Eine mögliche Schwachstelle liegt dabei in DevOps-Tools, welche die Teams im Rahmen der Software- und Anwendungsentwicklung auf IaaS-Plattformen einsetzen.
So umfassen diese Werkzeuge sowohl Open-Source- als auch kommerzielle Software, zahlreiche Plug-Ins für andere Tools sowie Abhängigkeiten von Bibliotheken. Dies macht die Werkzeuge einerseits zwar sehr leistungsfähig, begünstigt andererseits aber auch Fehlkonfigurationen und Sicherheitslücken, die die Integrität der Secrets gefährden. Man denke etwa an eine unsachgemäße Ablage der Secrets im Speicher oder der Festplatte sowie das unautorisierte Senden an Protokollierungssysteme.
Der DevOps Secrets Vault von Thycotic eliminiert diese Risiken, indem er dynamische Secrets just-in-time, d.h. im Moment der Zugriffsanfrage, automatisch generiert und zur Verfügung stellt, deren Nutzung aber gleichzeitig zeitlich beschränkt. So laufen die Berechtigungsnachweise, die ein Benutzer oder eine Ressource, wie z.B. ein Konfigurationswerkzeug, anfragt, nach einer bestimmten Zeit automatisch ab, was das Risiko einer späteren Kompromittierung minimiert.
Darüber hinaus ermöglichen dynamische Secrets auch eine granulare Autorisierung durch Cloud-Richtlinien. Je enger ein Secret definiert ist, d.h. je weniger Privilegien es umfasst und je kürzer es gültig ist, desto wertloser und uninteressanter ist es für einen Angreifer.
Integration mit zusätzlichen Werkzeugen in der DevOps-Pipeline
DevOps Secrets Vault ermöglicht es Unternehmen, Secrets für DevOps-Pipelines auf Unternehmensebene zu verwalten. Die Komplexität und Vielfalt der Tools innerhalb dieser Pipelines erfordern eine zentralisierte Verwaltung des privilegierten Zugriffs, um die Sicherheit aufrechtzuerhalten, das Zugriffsmanagement zu vereinheitlichen und die Kosten zu kontrollieren.
Unter Verwendung einer Cloud-basierten AWS-Architektur bietet DevOps Secrets Vault eine schnelle Bereitstellung sowie elastische Skalierbarkeit, da er speziell für die Hochgeschwindigkeitsanforderungen der dynamischsten DevOps-Umgebungen entwickelt wurde.
Darüber hinaus unterstützt die Lösung ab sofort Secret-Zugriffe für die Konfigurations-Management-Tools Chef und Puppet und enthält Software Development Kits (SDKs) für Ruby und .NET. Außerdem lässt sich DevOps Secrets Vault auch mit Jenkins, Kubernetes, Terraform und Ansible integrieren und enthält SDKs für Java, Go und Python.
Absicherung des Zugriffs auf DevOps Secrets Vault
Benutzer können sich bei DevOps Secrets Vault sowohl über AWS, Azure, GCP sowie Thycotic One authentifizieren. Die GCP-Unterstützung umfasst überdies die Möglichkeit, sich über Service- und Benutzerkonten, Google Compute Engines (GCE) und Google Kubernetes Engines (GKE) zu authentifizieren. Thycotic One ermöglicht Single-Sign-On und Zwei-Faktor-Authentifizierung sowohl über einen Time-based One-time Password Algorithmus (TOTP) als auch über SMS-Verfahren.