:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Hashicorp bringt Vault 1.4 auf den Markt Datenverschlüsselung und Identitäts-Management überall und irgendwo
„Vault“ stammt von Hashicorp und ist ein Werkzeug für vertrauliche Daten, das Datenverschlüsselung und Identitäts-Management für beliebige Anwendungen auf jeder Infrastruktur ermöglichen soll. Es gibt eine Open-Source-Variante und eine für Enterprise-Edition. Die Version 1.4 ist jetzt verfügbar und bietet einiges für Cloud-Native-Umgebungen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Laut Anbieter arbeitet Vault 1.4 jetzt besser nativ in neuartigen Produktionsumgebungen. Dazu sollen folgende Funktionen beitragen:
- Integrierter Speicher: Die Speicherung persistenter Daten von Vault ohne externes Speicher-Backend wird generell verfügbar. Zudem erhalten Vault-Enterprise-Kunden mehr Unterstützung.
- Transform Secrets Engine (nur Vault Enterprise): Die Transform Secrets Engine führt eine sichere Datentransformation zum Schutz vertraulicher Informationen durch, die sich in nicht oder nur wenig vertrauenswürdigen Systemen außerhalb von Vault befinden.
- Vault Helm Chart: Vault Enterprise unterstützt im Helm Chart jetzt auch das Hosting von Vault auf Kubernetes.
- OpenLDAP Secrets Engine: Automatisches Verwalten statischer Entitäten innerhalb von OpenLDAP.
- Kerberos Auth Method: Für die Authentisierung von Benutzern und Anwendungen über Kerberos.
- Für die „Vault Enterprise“-Variante des Werkzeugs bietet Hashicorp nun eine Automatisierung der Schlüsselsteuerung über „Netapp Full Disk Encryption“ (FDE) an sowie der Verschlüsselung von Datenträgern über die „KMIP Secrets Engine“.
- Außerdem hat das Unternehmen am Arbeitsablauf beim Disaster Recovery gearbeitet. Vault Enterprise bietet nun mehr Unterstützung für einen Sekundäranlauf, falls der primäre Anlaufplan nicht funktionieren sollte.
Integrated Storage
„Integrated Storage“ ist eine in Vault integrierte Speicher-Engine, welche die Konfiguration und Verwaltung zusätzlicher Speicher-Backends oder -Dienste überflüssig macht und die Implementierung und den Betrieb von Vault-Clustern in der Produktion vereinfacht. Das integrierte Speicher-Backend aus der Beta-Version ist jetzt für die Open-Source-Variante und die Enterprise-Edition allgemein verfügbar. Integriert ist auch eine Storage-Referenzarchitektur, eine „Preflight“-Checkliste für die Migration zu dem Vault-immanenten Speicher sowie ein Migrationsleitfaden für die Umstellung von „Consul“ auf Integrated Storage.
Die Transform Secrets Engine
Die „Transform Secrets Engine“ ist laut Anbieter eine wichtige, neue Funktion im Modul „Advanced Data Protection“ von Vault Enterprise. Damit lassen sich vertrauliche Daten schützen, die sich in nicht oder nur wenig vertrauenswürdigen Systemen außerhalb des Werkzeugs befinden. Dazu gehören Daten wie Sozialversicherungs- oder Kreditkartennummern und andere vertrauliche Daten, die unter anderem in Dateisystemen oder Datenbanken gebraucht werden, im Falle einer Gefährdung des Systems jedoch geschützt werden müssen.
Die Transform Secrets Engine unterstützt sowohl Einweg- (Maskierung) als auch Zweiweg-Transformationen über eine Data Type Protection. Damit unterstützt Vault Einsatzbereiche, die ansonsten über Tokens gelöst werden, mit Hochleistungskryptographie und der gesamten Palette der Hochverfügbarkeits- und Sicherheitsfunktionen der Vault-Plattform. (Sie auch: Dokumentation und Leitfaden)
Vault Helm Chart
Der offizielle „Helm Chart für Vault“ unterstützt jetzt sowohl Open-Source- als auch die Enterprise-Variante. Das Feature erlaubt, ein Vault-Cluster auf Kubernetes in nur wenigen Minuten zu starten. Geplant ist, dass Helm Chart der primäre Mechanismus für die Einrichtung zukünftig geplanter Funktionen von Vault und Kubernetes sein wird. Denn durch die Verwendung von Helm Chart wird die komplexe Ausführung von Vault auf Kubernetes erheblich vereinfacht, und ein wiederholbarer Implementierungsprozess in kürzerer Zeit erreicht.
OpenLDAP Secrets Engine
Die „OpenLDAP Secrets Engine“ im aktuellen Release erlaubt es Vault, bestehende OpenLDAP-Einheiten für Aktivitäten zu verwalten. Hierzu gehören rotierende Anmeldeinformationen in OpenLDAP-Verzeichnissen für viele Arbeitsabläufe mit privilegiertem Zugangs-Management. Die Engine ist kompatibel mit „OpenLDAP v.2.4“, so dass sich alle kompatiblen Identitätsplattformen mit OpenLDAP Secrets Engine instrumentieren lassen. (siehe auch die Anleitung)
Kerberos-Authentisierungsverfahren
Die „Kerberos“-Authentifizerung ermöglicht in Vault 1.4 die Verifikation von Anwendungen und Benutzern über eine vorhandene Kerberos- oder „Spnego“-Umgebung. Bei der Kerberos-Auth kommuniziert Vault mit einem externen Kerberos-System und überprüft die Ansprüche in einem Kerberos-Ticket.
Die Schlüsselverwaltung per Netapp
Vault Enterprise ist jetzt zertifiziert für das automatisierte Schlüssel-Management in den „Data-Ontap“-Systemen von Natapp. Dadurch kann Vault als externer Schlüsselmanager für Data Ontap dienen. Die Schlüssel werden entweder für die vollständige Festplattenverschlüsselung (FDE = Full Disk Encryption) über die Netapp-Speicherverschlüsselung geschützt oder auf Volume-Ebene über eine Datenträgerverschlüsselung.
Weitere Informationen über die KMIP Secrets Engine und der Technik-Blog zur Nutzung von Vault als externer Schlüsselverwaltung für NetApp-Verschlüsselung.
Disaster Recovery
Vor der Version Vault 1.4 erforderte während des Ausfalls eines DR-Primär-Clusters ein DR-Sekundär-Cluster die Erzeugung eines DR-Betriebs-Tokens, der durch eine Mindestanzahl an Wiederherstellungs- beziehungsweise Entsiegelungsschlüsseln erstellt wurde. Während kritischer Ausfallzeiten kann die Forderung dieser Mindestanzahl zu Verzögerungen bei der Wiederherstellung führen. Vault erlaubt jetzt die Erstellung eines DR-Batch-Tokens, der dann einen DR-Sekundär-Cluster ohne Forderung einer Mindestanzahl an Schlüsselhaltern ermöglicht und so bei kritischen Systemausfällen Zeit spart.
Weitere Informationen über den Arbeitsablauf bei einer Wiederherstellung (DR) und eine Schritt-für-Schritt-Anleitung.
Weitere Funktionen
Als die wichtigsten Funktionen, die bereits für die 1.3.x-Versionen von Vault entwickelt wurden und nun im Release 1.4 enthalten sind, bezeichnet Hashicorp folgende: Changelog.
- „MongoDB Atlas Secrets“: Vault kann jetzt dynamische Anmeldeinformationen sowohl für MongoDB-Atlas-Datenbanken als auch für die Atlas-Programmierschnittstelle erzeugen.
- „Redshift Database Secrets Engine“: Die Database Secrets Engine unterstützt jetzt statische und dynamische vertrauliche Daten für den Redshift-Dienst von Amazon Web Services (AWS).
- „Venafi Secrets Engine“: Ermöglicht Anwendungen, dynamisch SSL/TLS-Zertifikate zu generieren, die als Maschinenidentitäten dienen.
- „Service-Registration Config“: Eine neu eingeführte service_registration-Konfiguration erlaubt die Konfiguration getrennt vom Speicher-Backend (#7887).
- Kubernetes-Service-Discovery: Das Feature erlaubt bei der Vault, falls konfiguriert, Vault-Pods mit ihrem aktuellen Status zu kennzeichnen ( #8249).
- Usage Monitoring: Die Web-Schnittstelle verfügt jetzt über neue Schnittstellensteuerelemente zur Überwachung der laufenden Zählmetriken von HTTP-Anfragen, Entitäten und Tokens in Vault.
Im Github-Changelog von Vault 1.4 gibt es eine vollständige Liste von Funktionen, Verbesserungen und Fehlerbehebungen. Wie immer empfiehlt Hashicorp ein Upgrade und das Testen dieser Version in einer isolierten Umgebung. Bei Problemen, sollten Nutzer „Vault Github-Issue-Tracker“ nutzen sie im Vault-Diskussionsforum posten.
Sollten Nutzer jedoch ein Sicherheitsproblem erkannt haben, sollten sie den Mail-Kontakt bevorzugen; zu den Sicherheitsrichtlinien und PGP-Schlüsseln
(ID:46568004)
:quality(80)/images.vogel.de/vogelonline/bdb/1951300/1951358/original.jpg "Die F5 Distributed Cloud Services sind ab sofort verfügbar. (Mint_Fotos / F5)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942500/1942511/original.jpg "Die Container Runtime Protection von VMware setzt bereits beim Versändnis der Architektur an und zieht sich durch bis zur Analyse containersierter Anwendungen. (VMware)")