:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Credential-Verwaltung für Cloud und Microservices Identity Brokering für Maschinen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
In Bezug auf die statische Verwaltung von Geheimnissen (Secrets Management) ist eine der häufigsten Fragen: Was ist der Unterschied zwischen einer sogenannten Credential-Verwaltung, also einer einheitlichen Schnittstelle zur Verwaltung und Verschlüsselung von Geheimnissen, und einem zentralen Speicher von Geheimnissen (Secret Store)? Ist erstere dem AWS Secrets Manager oder Azure Key Vault ähnlich? Oder ist es eine Lösung, die cloud-unabhängig ist?
Lösungen für das Abspeichern von statischen Geheimnissen ermöglichen im Allgemeinen eine sichere Speicherung von Geheimnissen und einen API-basierten Abruf. Alle großen Cloud-Service-Provider (CSP) bieten ihre eigenen Systeme zur Speicherung an, deshalb gibt es mehrere agnostische Lösungen auf dem Markt. Einmal bieten die agnostischen Lösungen viel mehr Funktionen, was z.B. die Auditierfähigkeit angeht. Darüber hinaus werden Unternehmen durch Regulatorien auch gezwungen, diesen Teil der Security auf ein Drittsystem auszulagern und letztlich beugen viele Firmen es bereits vor, sich komplett in die Abhängigkeit der Cloud Services zu begeben, weil auch noch andere Premises (weiter Public Clouds oder eigene Rechenzentren) in Zukunft eingebunden werden sollen.
Dabei basiert die Authentifizierung in der Regel auf der nativen Identität, die von der Cloud bereitgestellt wird, z. B. die Identität einer virtuellen Maschine in Azure oder eine IAM-Rolle in AWS. Jedoch nutzen Cloud-unabhängige Speichermöglichkeiten häufig einen vordefinierten Satz von Anmeldeinformationen oder eine zusätzliche Form der Authentifizierung –– einschließlich IP-basierter Ansätze (IP-Bindings) – um Nutzer transaktionsbasiert zu authentifizieren und zu autorisieren.
Neue Herangehensweise
Eine Credential-Verwaltung ist zwar in der Lage, als Secrets Manager zu fungieren und Eins-zu-Eins-Beziehungen zu verwalten. Hauptsächlich aber unterscheidet sie sich zu reinen Schlüsselspeichern durch seine Fähigkeiten als Makler (identity broker) um Identitäten zu vermitteln. Identity Brokerage stellt sicher, dass die ursprüngliche Identität in allen Umgebungen genutzt werden kann – unabhängig davon, ob sie lokal (on-premise) oder über mehrere Clouds hinweg verwendet wird. Dies geschieht, ohne dass eine bestimmte IP oder ein weiteres Authentifizierungsverfahren, wie beispielsweise eine anfängliche Challenge-Response, erforderlich sind.
Identity Brokerage ermöglicht mehr Flexibilität, eine sichere Authentifizierung auf allen Ebenen des Anwendungsstacks und eine bessere Beobachtbarkeit über Systeme hinweg. Da das Brokering für eine Many-to-Many-Beziehung konzipiert ist, wird die betriebliche Komplexität reduziert: Es müssen weniger One-to-One-Beziehungen verwaltet werden. Dies führt zu einem Mehrwert, da die Priorität auf deklarativer, relationaler Authentifizierung und Autorisierung liegt.
Was genau ist Identity Brokerage?
Brokerage, also Maklerdienste, sind in der Geschäftswelt ein recht gängiges Konzept: Privatperson beauftragen einen Finanzmakler, um Zugang zu einem Portfolio von Vermögenswerten zu erhalten. Krankenversicherungsansprüche werden über einen Makler im Auftrag eines Versicherers abgewickelt und aggregiert, damit dieser die Zahlungen konsolidieren kann. Das Konzept der Identitätsmaklers folgt einem ähnlichen Muster.
Die häufigste Anwendung von Identity-Brokerage ist Single-Sign-On (SSO). Die Authentifizierung geschieht einmalig an einem Punkt, um dann Zugang zu einer Vielzahl an Services zu erhalten.
Häufig wird jedoch übersehen, dass auch die Identität von Maschinen verwaltet werden muss – ähnlich wie eben SSO für menschliche Identitäten eingesetzt wird. Da Microservices das Architekturdesign weiter vorantreiben, ist es zunehmend notwendig, dass Anwendungen auf mehrere Ressourcen zugreifen. Eine Anwendung, die beispielsweise auf eine Datenbank, SSH und DataDog zugreifen muss, kann Identity Brokerage nutzen, so dass diese Ressourcen von einem einzigen Authentifizierungsmechanismus verwaltet werden. Bei gemeinsam genutzten Ressourcen wird eine zentralisierte Lösung für die Nachvollziehbarkeit und Kontrolle noch wichtiger, um authentifizierte Ressourcen zu überwachen.
Lohnt sich Identity Brokerage für eine einzelne Cloud?
Der Umzug in die Cloud ist komplex und nur selten wird eine einzige Cloud-Strategie verfolgt. Gründe dafür können Strategieänderungen, gesetzliche Vorschriften, Schwierigkeiten bei der Migration von bestehenden älteren Infrastrukturen oder sogar eine Unternehmensübernahme sein. Hinzu kommt, dass Microservice-Architekturen zunehmend allgegenwärtig werden. Das hat zur Folge, dass Ressourcen gemeinsam genutzt werden. Die Weitergabe von Anmeldeinformationen über E-Mail oder Messaging-Dienste kommt weitaus häufiger vor, als man zugeben möchte. Dies stellt ein großes Risiko dar – nicht nur in Bezug auf die Anmeldedaten selbst, sondern auch hinsichtlich deren Weitergabe.
Je mehr Anmeldedaten unkontrolliert im Umlauf sind und in je mehr Anwendungen diese zum Einsatz kommen, umso komplizierter wird es, sie zu verwalten. Außerdem besteht die Gefahr, dass die Identifizierungsinformationen nicht verfügbar sind – insbesondere dann, wenn immer komplexere Architekturen eingeführt werden und damit die Möglichkeiten gemeinsam genutzter Dienste (Shared Service) steigt. Wenn Erika Mustermann, eine Entwicklerin, das Kennwort für die Anmeldung einer Datenbank für Anwendung A ändert, ohne Anwendung B darüber zu informieren, kann dies zu einem Ausfall von Anwendung B führen. Wenn dagegen die Datenbankberechtigungen auf der Grundlage ihrer Identität vermittelt wird, kann Frau Mustermann das Passwort für die Datenbank ändern, ohne dass eine Beeinträchtigung des Dienstes zu befürchten ist.
Derzeit verwenden mehr als 50 Prozent der Unternehmen eine Version von Kubernetes, wobei die Unternehmen, die andere Containersysteme wie Rancher, OpenShift oder Nomad verwenden, nicht mitgerechnet sind. Obwohl es sich bei der Nutzung von Kubernetes um eine Cloud-native Lösung handelt, stellt sie das Identitätsmanagement vor neue Herausforderungen.
Am Beispiel Managed Kubernetes lässt sich erkennen, dass es einen großen Reifeunterschied zwischen den Cloud-Anbietern gibt. In AWS ist es möglich, Cluster mit nativem AWS IAM zu verwalten. Wie bei allen großen Cloud-Anbietern verbleibt die Identität jedoch auf Cluster-Ebene. Dies macht die Identitätsverwaltung auf Pod-Ebene ohne die Verwendung eines CSI-Treibers oder eines Tools eines Drittanbieters fast unmöglich. In Azure ist die Maschinenidentität für AKS nicht verfügbar, was dazu führt, dass die Identitätsverwaltung des Clusters an die Identität des Nutzers gebunden ist. Dies ist alles andere als ideal, wenn die Nichtabstreitbarkeit (non repudiation) eine Priorität ist. Wenn im Fall von GKE beim Start eines neues Pods die Identität des Workloads verwendet wird, können die ersten Sekunden im Leben eines Pods ein Fehlschlag sein. Dies führt zu einer inkonsistenten Verwaltung von Workloads.
Wir brauchen SSO für Menschen, warum also nicht auch für Maschinen?
Seit fast dreißig Jahren verlässt man sich auf SSO für Anwender mit dem Ziel, die Lücke zwischen menschlicher Identität und Authentifizierung zu schließen. Es lässt sich leicht darüber spekulieren, warum die Anwendung von übergreifenden Identitäten nicht stärker in den Vordergrund gerückt ist: Geschah dies wegen der bis vor kurzem noch statischen Natur der Infrastruktur, wegen der allgegenwärtigen Verwendung monolithischer Architekturen oder aufgrund einer Kombination aus beidem? Auf jeden Fall ist der derzeitige Zustand der Anwendungsidentität durch einen fragmentierten, dezentralisierten und hochgradig manuellen Ansatz gekennzeichnet.
Fazit
Während die meisten Cloud-Anbieter über native Identitäten für ihre Ressourcen verfügen, ist die Vereinheitlichung dieser Identitäten in einem einzigen, überprüfbaren und kontrollierten Workflow ohne eine zentrale Vermittlungsstelle komplex. Zudem ist sie für den Menschen nicht lesbar und aufgrund der für die Automatisierung erforderlichen Komplexität nicht skalierbar. Durch den Einsatz eines Brokerage-Mechanismus ist es möglich, einen einheitlichen Workflow über alle erforderlichen Anwendungsebenen hinweg zu gewährleisten – vom Netzwerk bis zur Anwendung und das über mehrere Ressourcen hinweg. Wenn schon Best Practice von Nutzern verlangt, sich per SSO zu authentifizieren – sei es für das VPN oder eine Unternehmensanwendung, warum sollte es bei Maschinen anders sein?
Über den Autor: Sebastian Weiss ist Area Vice President DACH bei HashiCorp. Der versierte Open-Source und Cloud-Experte setzt seinen Fokus auf die Zusammenarbeit mit Technologiepartnern, Systemintegratoren und Resellern in Deutschland, Österreich und der Schweiz. Nach einem Bachelor of Science in Wirtschafsinformatik war Sebastian Weiss in mehreren Vertriebsfunktionen tätig, zuletzt u.a. bei Red Hat, Mirantis, Google Cloud und Microsoft, wo er den Ausbau der Geschäfte in DACH und Europa mitgestaltete.
(ID:49531520)
:quality(80)/p7i.vogel.de/wcms/2c/81/2c81ee8a7973739436de3b8b535325bb/0112827517.jpeg "Der Durchlass von KubeOne zu KKP-Plattformen soll einfacher werden und die Verbíndung in VMware-Clouds hinein noch sicherer. (Bild: frei lizenziert: Broesis)")
:quality(80)/p7i.vogel.de/wcms/d5/c0/d5c0482d1006353a62f4d52cd51bc18a/0110981889.jpeg "Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")