Internet-Sicherheit 
Die Sicherung von privilegierten Konten mit FIDO2-Sicherheitsschlüsseln ist der beste Weg, um sie vor internen und externen Bedrohungen zu schützen. Diese Schlüssel bieten im Vergleich zu
Die Verwaltung von Geheimnissen ist ein integraler Bestandteil der Sicherheit von Containern. Anwendungscode hängt häufig von Infrastrukturgeheimnissen ab, wie API-Schlüsseln, Passwörtern oder Zugriffstoken. Zu oft kodieren Entwickler und DevOps-Mitarbeiter solche Geheimnisse hart in Container-Images oder injizieren sie als Umgebungsvariablen. Bei beiden Methoden kommt es zu Geheimnissen, die sich kompromittieren lassen. Darüber hinaus verknüpft eine Hartkodierung von Geheimnissen die Verwaltung von Geheimnissen mit der Entwicklung. Das bedeutet, dass eine Änderung oder Rotation eines Geheimnisses ein Refactoring sowie eine Neubereitstellung des Codes erfordert.
Die Docker-CLI enthält zwar Befehle für die Verwaltung von Geheimnissen, funktioniert jedoch nur mit Swarm-Clustern (und nicht mit eigenständigen Containern). Zur Umgehung dieser Einschränkung können Benutzer Geheimnisse in einer Docker-Compose-Datei über das Feld für Geheimnisse auf oberster Ebene definieren. Dazu müssen Administratoren Geheimnisse jedoch in Konfigurationsdateien (d. h. in regulärem Text) speichern, die in die Container eingebunden und von Anwendungen gelesen werden. Wenn diese Dateien an die Quellkontrolle übergeben werden, kann jede Person, die Zugriff auf das Repository hat, auf sie zugreifen.
Das Speichern von Docker-Geheimnissen in Textdateien ist nicht nur unsicher, sondern trägt auch zur Verbreitung von Geheimnissen bei. Bei diesem Szenario werden Infrastrukturgeheimnisse ohne bestimmte Ordnung im gesamten Netzwerk gespeichert. Das mag kein großes Problem sein, solange ein Unternehmen nur wenige Geheimnisse hat. Wenn Unternehmen wachsen, nehmen die Infrastrukturgeheimnisse jedoch exponentiell zu. Zum Beispiel kann es leicht Tausende von SSH-Schlüsseln geben.
Sichere Docker-Geheimnisse ohne Swarm – oder Verbreitung
Keeper Secrets Manager (KSM), die erste und einzige cloudbasierte Zero-Trust- und Zero-Knowledge-Lösung zum Schutz von Infrastrukturgeheimnissen, ermöglicht es Entwicklern und DevOps-Mitarbeitern, Docker-Geheimnisse zusammen mit allen anderen Infrastrukturgeheimnissen auf einfache Weise zu schützen. So können sie die Sicherheit von Containern verbessern und gleichzeitig die Ausbreitung von Geheimnissen in der gesamten Datenumgebung verhindern.
KSM bietet Entwicklern und DevOps-Teams drei Hauptmethoden zum Schutz von Docker-Geheimnissen.
1. Erstellen eines Image mit Geheimnissen unter Einsatz von BuildKit
Mit Docker BuildKit können Geheimnisse aus dem Keeper-Tresor in einen Docker-Container integriert werden. Ab Docker 18.09 ermöglicht es die Funktion zur Image-Erstellung, Geheimnisse über ein gemountetes Dateisystem zu übermitteln. Stellen Sie sich diese Methode wie das Backen eines Kuchens vor, in den Ihre Geheimnisse sicher eingebacken sind. Weitere Details und ein nützliches Beispiel finden Sie in unserer Dokumentation, wo wir die Methode demonstrieren, indem wir im Ziel-Image ein Benutzerkonto mit einem Benutzernamen und einem Passwort aus Keeper Secrets Manager erstellen.
2. Erstellen eines Image mit Geheimnissen unter Einsatz von Build Arguments
Aufbauend auf der Kuchenanalogie in Methode 1 ist diese Methode wie das Backen eines dynamischen Kuchens; der Kuchen kann mit dem Tresor „telefonieren“ und die Geheimnisse, die Sie benötigen, zur Laufzeit sicher abrufen.
Bei der Methode werden Geheimnisse über das –build-arg übergeben. Setzen Sie einfach Umgebungsvariablen mit Keeper-Notation für die benötigten Geheimnisse und verwenden Sie den Befehl ksm exec, um den Docker-Build mit den benötigten Geheimnissen zu erstellen. Zusätzliche Details und ein weiteres nützliches Beispiel finden Sie in unserer Dokumentation.
3. Verwenden des KSM Docker Writer Image
Der KSM Docker Writer, ein universelles Docker-Image, vereinfacht den Schutz von Docker-Geheimnissen, indem er Geheimnisdateien automatisch herunterlädt und eine Datei generiert, die Geheimnisse enthält. Das KSM Docker Writer Image kann durch Ausführen des folgenden CLI-Befehls leicht abgerufen werden:
$ docker pull keeper/keeper-secrets-manager-writer
Bei der Ausführung werden die Parameter des Image via Umgebungsvariablen übergeben.
$ docker run \
-v $PWD:/wd –workdir /wd \
-e „KSM_CONIFG=BASE64 CONFIG“ \
-e „SECRETS=JfXpSQ2nZG6lkdl1rxB0dg/file/example.crt >
file:example.crt“
keeper/keeper-secrets-manager-writer
Mit dem KSM Docker Writer ruft der gesamte Quellcode in Docker-Images Geheimnisse von einem sicheren API-Endpunkt ab – und nicht aus einer Textdatei! Jedes Geheimnis wird mit einem 256-Bit-AES-Schlüssel verschlüsselt und dann mit einem weiteren AES-256-Anwendungsschlüssel erneut verschlüsselt. Das Clientgerät ruft verschlüsselten Geheimtext aus der Keeper-Cloud ab. Geheimnisse werden lokal auf dem Gerät entschlüsselt und genutzt – nicht auf den Servern von Keeper. Darüber hinaus werden alle Serveranfragen zusätzlich zu TLS mit einem AES-256-Übertragungsschlüssel verschlüsselt, um MITM- oder Replay-Angriffe zu verhindern. Diese mehrschichtige Kryptografielösung wird transparent über die clientseitigen SDKs von Keeper gehandhabt, die sich leicht in jede Umgebung integrieren lassen.
Ein gutes Beispiel für die Verwendung von KSM Docker Writer Image ist die Integration in Orchestrierungstools wie Kubernetes oder Docker Compose. Das KSM-Image kann die bei der Initialisierung benötigten Geheimnisse abrufen und dann mit den anderen Containern teilen, die von ihnen abhängen. Das Beispiel mit Docker Compose in unserer Dokumentation nutzt ein freigegebenes Volume, um die Geheimnisse zu speichern.
Verwenden Sie KSM, um alle Ihre Infrastrukturgeheimnisse zu schützen
Der Nutzen von KSM endet nicht bei Docker oder Containern. KSM schützt Geheimnisse, die von Quellcode verwendet werden, im gesamten IT-Ökosystem eines Unternehmens sowie in Servern, CI/CD-Pipelines und Entwicklerumgebungen. Da KSM eine natürliche Erweiterung des erstklassigen Enterprise Password Manager (EPM) von Keeper ist, ist die Lösung außerdem vollständig in den Web-Tresor, die Desktop-App und die Adminkonsole von Keeper integriert. Darüber hinaus lässt sich KSM nahtlos in das ARAM-Modul (Advanced Reporting and Alerts) von Keeper, BreachWatch, Webhooks, SIEM-Systeme und Compliance-Tools integrieren.
Der Einsatz von KSM anstelle von harter Kodierung, Umgebungsvariablen oder Konfigurationsdateien verhindert die Verbreitung von Geheimnissen, reduziert spürbar das Risiko einer unbeabsichtigten Kompromittierung von Geheimnissen und speichert Infrastrukturgeheimnisse in Keepers Zero-Knowledge EPM. Administratoren und DevOps-Mitarbeiter haben so die gleichen Vorteile und Kontrollmöglichkeiten über Infrastrukturgeheimnisse, wie sie Keeper ihnen bei Passwörtern bietet. Dazu gehören eine vereinfachte Rotation von Geheimnissen, rollenbasierte Zugriffskontrolle (RBAC) und die Integration mit Add-ons wie BreachWatch. Diese Funktion scannt das Darknet nach kompromittierten Anmeldeinformationen und warnt IT-Administratoren, wenn solche entdeckt werden.
Keeper Secrets Manager wird vollständig verwaltet und nutzt eine neue, zum Patent angemeldete Sicherheitsarchitektur. Im Gegensatz zu konkurrierenden Lösungen für die Verwaltung von Geheimnissen lässt sich KSM in praktisch jede Datenumgebung integrieren, ohne dass zusätzliche Hardware oder eine in der Cloud gehostete Infrastruktur benötigt werden. Außerdem sind sofort einsatzbereite Integrationen mit einer Vielzahl von DevOps-Tools möglich, einschließlich Github Actions, Kubernetes, Ansible und mehr.
Sie sind noch nicht Kunde von Keeper? Dann melden Sie sich jetzt an für eine kostenlose 14-tägige Testversion! Wollen Sie genauer wissen, wie Keeper Ihrem Unternehmen helfen kann, Sicherheitsverletzungen zu verhindern? Dann wenden Sie sich noch heute an unser Team.
