Warum DevSecOps-Teams Geheimnisse verwalten müssen
Publiziert
am
Januar 26, 2023
Blog teilen
Geschrieben von
Teresa Rothaar
Eine ordnungsgemäße IT-Geheimnisverwaltung ist für den Schutz Ihres Unternehmens vor Cyberbedrohungen von entscheidender Bedeutung. Dies gilt insbesondere für DevOps-Umgebungen, in denen gängige CI/CD-Pipeline-Tools wie Jenkins, Ansible, Github Actions und Azure DevOps Geheimnisse für den Zugriff auf Datenbanken, SSH-Server, HTTPs-Dienste und andere hochsensible Systeme verwenden.
Trotz der kritischen Bedeutung der Verwaltung von Geheimnissen hat der Cybersecurity Census Report 2022 von Keeper ergeben, dass fast ein Drittel der Unternehmen (32 %) keine spezielle Lösung zum Schutz ihrer Geheimnisse hat. Darüber hinaus haben erstaunliche 84 % Bedenken hinsichtlich der Risiken, die mit hartkodierten Anmeldeinformationen im Quellcode verbunden sind – und 25 % haben keine Software, um diese zu entfernen.
Was ist DevSecOps?
Bevor Sie DevSecOps definieren, müssen Sie DevOps verstehen. DevOps ist eine Softwareentwicklungsphilosophie, die darauf abzielt, Silos zwischen Softwareentwicklung und IT-Betrieb zu überwinden (daher der Name „DevOps“), um schneller qualitativ hochwertige Software zu liefern. DevOps ergänzt die agile Softwareentwicklung und stützt sich stark auf die Automatisierung von Prozessen während des gesamten Softwareentwicklungszyklus (SDLC).
Bei DevOps geht es jedoch nicht nur um Entwicklung und Betrieb, auch die Sicherheit muss einen wichtigen Platz am Tisch haben. Folglich wurde DevSecOps eingeführt, das darauf abzielt, Sicherheitsinitiativen auf jeder Ebene des SDLC zu integrieren, um schnell Anwendungen bereitzustellen, die nicht nur robust, sondern auch sicher sind.
Was ist Geheimnisverwaltung?
Geheimnisverwaltung bezieht sich auf die Tools und Methoden, die für die Verwaltung von Authentifizierungsdaten für den Zugriff auf hoch privilegierte Systeme und sensible Daten verwendet werden.
Im Großen und Ganzen sind Geheimnisse einfach nur Passwörter. Im Gegensatz zu anderen Passwörtern werden Geheimnisse jedoch nicht von Menschen, sondern von Anwendungen und Maschinen verwendet. Häufige Arten von Geheimnissen sind:
Nicht-menschliche Anmeldeinformationen, z. B. für Dienstkonten
Datenbank- und andere System-zu-System-Passwörter
Kryptografische und Verschlüsselungs-Schlüssel
Anmeldeinformationen für den Cloud-Dienst
Schlüssel für die Anwendungsprogrammierungsschnittstelle (API)
Neben dem Schutz von IT-Geheimnissen vor Cyberbedrohungsakteuren bieten Lösungen zur Geheimnisverwaltung DevSecOps-Teams einen Einblick in ihre Datenumgebung, helfen ihnen, die Ausbreitung von Geheimnissen zu verhindern, und erleichtern das sichere Teilen von Geheimnissen.
Herausforderungen bei der Geheimnisverwaltung für DevSecOps
DevSecOps-Teams stehen vor erheblichen Risiken und Herausforderungen bei der Geheimnisverwaltung. Sehen wir uns die häufigsten Probleme an.
1. Verbreitung von Geheimnissen
Geheimnisverbreitung liegt vor, wenn ein Unternehmen Geheimnisse im gesamten Netzwerk speichert, ohne eine Lösung für ihre Organisation, Verwaltung und Sicherung zu verwenden. Dieses Problem verschlimmert sich durch die weit verbreitete Einführung von SaaS-Anwendungen und Cloud-nativen Entwicklungsmodellen, die die Anzahl der Geheimnisse in Unternehmen drastisch erhöht haben, während die Speicherung dezentralisiert wurde. In dieser Art von Umgebung fehlt es den DevOps-Teams an Transparenz und einheitlichen Verwaltungsrichtlinien, die sie benötigen, um ihre Geheimnisse unter Kontrolle zu bringen. Dies vergrößert die Angriffsfläche des Unternehmens und erhöht das Risiko eines Datenlecks.
2. Hardkodierte und eingebettete Anmeldeinformationen
Hartkodierte/eingebettete Anmeldeinformationen tragen sowohl zur Geheimnisverbreitung als auch zu Datenverletzungen bei. Viele intelligente Geräte, andere Hardware- und sogar Softwareplattformen werden mit hartkodierten Standard-Anmeldeinformationen ausgeliefert. Diese Anmeldeinformationen sollten vor der Bereitstellung des Produkts geändert werden, aber wenn DevSecOps-Teams keinen Einblick in ihre Datenumgebung haben, geschieht das nicht immer. Wenn Geräte und Anwendungen ohne Änderung der Standard-Anmeldeinformationen bereitgestellt werden, können Cyberkriminelle mithilfe von Scanning-Tools in Verbindung mit dem Benutzerhandbuch des Geräts oder der Anwendung leicht auf sie zugreifen. Diese Handbücher sind online verfügbar und enthalten die Standard-Anmeldeinformationen.
Außerdem programmieren Entwickler manchmal Geheimnisse fest in den Quellcode ein. Dies ist ein schwerwiegender Verstoß gegen die Best Practices für die Anwendungssicherheit, aber ohne Transparenz können DevSecOps-Teams dies nicht wirksam verhindern.
3. Mehrere und unterschiedliche Tool-Sets
Viele Tools, die in DevSecOps-Umgebungen verwendet werden, verfügen über integrierte Secrets Manager, mit denen Teams hartkodierte/eingebettete Anmeldeinformationen entfernen können. Diese Tools zur Geheimnisverwaltung sind jedoch proprietär und funktionieren nur mit den Lösungen, mit denen sie gebündelt sind. Das Problem der Geheimnisverbreitung im Allgemeinen wird dadurch nicht gelöst.
4. Schlechte Passwortsicherheitspraktiken
Wie bereits in diesem Blog erwähnt, sind Geheimnisse nichts anderes als eine andere Art von Passwort, d. h. sie unterliegen denselben Sicherheitsproblemen wie andere Passwörter. Manchmal werden Geheimnisse im Klartext gespeichert, sodass der Zugriff auf Geheimnisse ungeschützt ist. Teammitglieder verwenden möglicherweise Geheimnisse anwendungsübergreifend oder wählen schwache Geheimnisse wie Tastaturmuster oder Wörterbuchwörter. Geheimnisse werden möglicherweise nicht geändert oder widerrufen, wenn Mitarbeiter, die Zugriff darauf haben, das Unternehmen verlassen. All diese Probleme erhöhen die Wahrscheinlichkeit einer Kompromittierung erheblich, was zu einem Datenleck führen kann.
Worauf Sie bei einer DevSecOps-Lösung zur Geheimnisverwaltung achten sollten
Der beste Weg, um die Geheimnisverbreitung zu bekämpfen und Datenschutzverletzungen zu verhindern, ist die Verwendung einer dedizierten Lösung für die Geheimnisverwaltung, die einen sicheren, zentralen Tresor enthält, in dem die Geheimnisse gespeichert werden.
Achten Sie bei der Bewertung von DevSecOps-Lösungen zur Geheimnisverwaltung auf die folgenden Funktionen:
Ein flexibles Bereitstellungsmodell – Die heutigen Datenumgebungen sind hochkomplex und jede einzelne ist einzigartig. Stellen Sie sicher, dass Ihr Secrets Manager in Ihrer gesamten Umgebung funktioniert, egal ob vor Ort, in der Cloud oder in einer Multi-Cloud- oder Hybrid-Konfiguration.
AES-Verschlüsselung – Um Geheimnisse effektiv zu schützen, muss ein Secrets Manager Daten sowohl während der Übertragung als auch im Ruhezustand verschlüsseln. Das ist aber noch nicht alles. Stellen Sie sicher, dass die von Ihnen gewählte Lösung eine 256-Bit-AES-Verschlüsselung verwendet, den von Banken und Regierungsbehörden verwendeten Goldstandard.
Integration mit anderen Anwendungen und Diensten – Die Lösung für die Geheimnisverwaltung Ihres Unternehmens sollte sich nahtlos in gängige CI/CD-Systeme und alle anderen in Ihren Entwicklerumgebungen verwendeten Tools integrieren lassen.
So schützt Keeper die Geheimnisse Ihres Unternehmens
Keeper Secrets Manager ist eine cloudbasierte Zero-Trust– und Zero-Knowledge-Lösung, die DevSecOps-Teams einen zentralisierten Tresor bietet, der für DevOps-Umgebungen optimiert ist. Keeper Secrets Manager ermöglicht es allen Servern, CI/CD-Pipelines, Entwicklerumgebungen und Quellcodes, Geheimnisse von einem sicheren API-Endpunkt zu beziehen. Jedes Geheimnis wird mit einem 256-Bit-AES-Schlüssel verschlüsselt und dann mit einem weiteren AES-256-Anwendungsschlüssel erneut verschlüsselt.
Keeper Secrets Manager ist eine ergänzende Lösung der Plattform von Keeper Enterprise Password Management (EPM) und ist in Ihren Web-Tresor, Ihre Adminkonsole und Ihre Desktop-App eingebettet. Darüber hinaus bietet er weitere Integrationen in das Modul für Erweiterte Berichte und Warnungen von Keeper, BreachWatch, das Darknet-Überwachungstool, SIEM-Integration, Webhooks und Compliance-Lösungen.
Fordern Sie eine Demo von Keeper Secrets Manager an, um zu erfahren, wie Ihr Unternehmen die Geheimnisverbreitung verhindern und Ihre Umgebung sichern kann.
Teresa Rothaar
Teresa Rothaar is a governance, risk, and compliance (GRC) analyst at Keeper Security. In this role, she spearheads employee cybersecurity awareness training; maintains the company’s RFP response library; creates and maintains internal security policies; develops automated GRC processes to achieve robust risk management and compliance results; performs external vendor risk assessments; and facilitates third-party certification audits. Prior to joining Keeper, she spent six years as a cybersecurity copywriter, where she produced hundreds of blogs and ghostwritten articles, dozens of whitepapers and case studies, and other thought leadership content for cybersecurity firms ranging from small startups to multinational corporations. She holds an MBA and an M.S. in management information systems from Wilmington University, and a B.S. in mathematics and computer science from Temple University.
Erhalten Sie die neuesten Nachrichten und Updates zur Cybersicherheit direkt in Ihren Posteingang.
Blog teilen
Könnte Ihnen ebenfalls gefallen
Acht häufige Angriffsvektoren, die Unternehmen kennen müssen
Ein Angriffsvektor, auch Bedrohungsvektor genannt, ist eine Möglichkeit für Cyberkriminelle, sich Zugang zum Netzwerk oder System einer Organisation zu verschaffen. Zu den häufigsten Arten von Angriffsvektoren, gegen die sich Unternehmen verteidigen müssen, gehören schwache und kompromittierte...