Cybersecurity 
Het beveiligen van privileged accounts met FIDO2-beveiligingssleutels is de beste manier om ze te beschermen tegen interne en externe bedreigingen, omdat ze een verbeterde beveiliging bieden
Geheimenbeheer is een integraal onderdeel van containerbeveiliging. Applicatiecodering is vaak afhankelijk van infrastructuurgeheimen, zoals API-sleutels, wachtwoorden en toegangstokens. Al te vaak maken ontwikkelaars en DevOps-medewerkers van deze geheimen hard-coded containerafbeeldingen of injecteren ze deze als omgevingsvariabelen. Beide methoden maken geheimen kwetsbaar voor compromittering. Het hard-coderen van geheimen koppelt bovendien het beheerproces van geheimen aan het ontwikkelingsproces, waardoor de code moet worden gerefactored of opnieuw worden geïmplementeerd om een geheim te wijzigen of te roteren.
Hoewel de Docker CLI opdrachten voor geheimenbeheer bevat, werken ze alleen met Swarm-clusters, niet met losse containers. Om deze beperking te vermijden, kunnen gebruikers geheimen definiëren in een Docker Compose-bestand via het geheimenveld op het hoogste niveau. Hiervoor moeten beheerders geheimen wel opslaan in configuratiebestanden (d.w.z. gewone tekstbestanden), die in hun containers worden aangekoppeld en door applicaties worden gelezen. Als deze bestanden worden vastgelegd in het bronbeheer, kan iedereen met toegang tot het archief ze openen.
Het opslaan van Docker-geheimen in tekstbestanden is niet alleen onveilig, maar zorgt er ook voor dat infrastructuurgeheimen in een ongecontroleerde en willekeurige volgorde over het hele netwerk worden opgeslagen. Dit lijkt misschien niet zo erg wanneer een organisatie relatief weinig geheimen heeft, maar naarmate bedrijven groeien, vermenigvuldigen de infrastructuurgeheimen zich exponentieel. Zo kunnen alleen al SSH-sleutels gemakkelijk in de duizenden oplopen.
Docker Secrets beveiligen zonder Swarm of Sprawl
Met Keeper Secrets Manager (KSM), de eerste en enige cloudgebaseerde, zero-trust, zero-knowledge oplossing voor het beveiligen van infrastructuurgeheimen, kunnen ontwikkelaars en DevOps-medewerkers eenvoudig Docker-geheimen beveiligen, samen met alle andere infrastructuurgeheimen. Hierdoor worden containers beter beveiligd en worden geheimen niet meer over de hele data-omgeving verspreid.
KSM biedt ontwikkelaars en DevOps-teams drie primaire methoden om Docker-geheimen te beveiligen.
1. Een afbeelding met geheimen maken met BuildKit
Met Docker BuildKit kunnen geheimen van de Keeper Vault in een Docker-container worden ingebouwd. Vanaf Docker 18.09 of hoger kunnen met imagebuilding geheimen worden doorgegeven via een aangekoppeld bestandssysteem. Deze methode kunt u vergelijken met het bakken van een taart. In deze taart worden uw geheimen veilig gebakken. Raadpleeg onze documentatie voor meer informatie en een praktisch voorbeeld waarin we deze methode demonstreren door een gebruikersaccount aan te maken in de doelafbeelding met een gebruikersnaam en wachtwoord van Keeper Secrets Manager.
2. Een afbeelding met geheimen maken met Build Arguments
Voortbordurend op de taartanalogie in methode 1, kunt u deze methode zien als het bakken van een veelzijdige taart die naar naar de kluis kan “bellen” en veilig de geheimen kan ophalen die u nodig hebt tijdens runtime.
Bij deze methode worden geheimen doorgegeven via –build-arg. Stel gewoon omgevingsvariabelen in met Keeper-notatie voor de nodige geheimen en gebruik de opdracht ksm exec om de Docker-build te maken met de vereiste geheimen. Raadpleeg onze documentatie voor meer informatie en een ander praktisch voorbeeld.
3. Een KSM Docker Writer-afbeelding gebruiken
De KSM Docker Writer, een Docker-afbeelding voor algemeen gebruik, maakt de beveiliging van Docker-geheimen eenvoudiger door automatisch geheime bestanden te downloaden en een bestand te genereren dat geheimen bevat. De KSM Docker Writer-afbeelding kan eenvoudig worden opgehaald door de volgende CLI-opdracht uit te voeren:
$ docker pull keeper/keeper-secrets-manager-writer
Tijdens het uitvoeren worden de parameters doorgegeven via omgevingsvariabelen.
$ docker run \
-v $PWD:/wd –workdir /wd \
-e “KSM_CONIFG=BASE64 CONFIG” \
-e “SECRETS=JfXpSQ2nZG6lkdl1rxB0dg/file/example.crt >
file:example.crt”
keeper/keeper-secrets-manager-writer
Met de KSM Docker Writer halen alle broncodes in Docker-afbeeldingen geheimen op van een beveiligd API-eindpunt, en niet van een tekstbestand! Elk geheim wordt versleuteld met een 256-bits AES-sleutel, die op zijn beurt wordt versleuteld door een andere AES-256-sleutel. Het apparaat van de gebruiker haalt versleutelde tekst uit de Keeper-cloud op. Geheimen worden ontsleuteld en niet op de servers van Keeper, maar lokaal op het apparaat gebruikt. Bovendien worden alle serververzoeken verder versleuteld met een AES-256-transmissiesleutel bovenop TLS om MITM- of replay-aanvallen te voorkomen. Deze meerlaagse cryptografie wordt transparant verwerkt via de SDK’s aan de klantzijde, die eenvoudig te integreren zijn in elke omgeving.
Een goed voorbeeld van het gebruik van een KSM Docker Writer-afbeelding is de integratie in orchestration-tools zoals Kubernetes en Docker Compose. De KSM-afbeelding kan de geheimen ophalen die nodig zijn tijdens de initialisatie. Deze geheimen kunnen vervolgens worden gedeeld met de andere containers die ervan afhankelijk zijn. In het voorbeeld van Docker Compose in onze documentatie wordt een gedeeld volume gebruikt om de geheimen op te slaan.
Gebruik KSM om al uw infrastructuurgeheimen te beveiligen
KSM is niet alleen nuttig voor Docker of containers. KSM beschermt geheimen die worden gebruikt door broncode in het gehele IT-ecosysteem van een organisatie, alsook servers, CI/CD-pijplijnen en ontwikkelaarsomgevingen. Aangezien KSM een natuurlijke uitbreiding van Keepers hoogwaardige Enterprise Password Manager (EPM) is, is het bovendien volledig geïntegreerd in de Keeper Webkluis, Desktopapp en Beheerdersconsole. KSM kan ook naadloos worden geïntegreerd in Keepers module Geavanceerde rapportage en meldingen (ARAM), BreachWatch, Webhooks, SIEM-integratie en nalevingstools.
Door KSM te gebruiken in plaats van hardcoding, omgevingsvariabelen of configuratiebestanden, worden geheimen niet meer verspreid, worden de risico’s van onbedoelde compromittering van geheimen aanzienlijk verminderd en worden infrastructuurgeheimen opgeslagen in de zero-knowledge EPM van Keeper. Dit levert beheerders en DevOps-medewerkers dezelfde voordelen en controle over infrastructuurgeheimen als Keeper hen geeft over wachtwoorden. Deze omvatten vereenvoudigde geheimenrotatie, op rollen gebaseerd toegangsbeheer (RBAC) en integratie met add-ons zoals BreachWatch dat het dark web scant op gecompromitteerde inloggegevens en IT-beheerders waarschuwt als inloggegevens worden ontdekt.
Keeper Secrets Manager is volledig beheerbaar en maakt gebruik van een nieuwe beveiligingsarchitectuur waarvoor een patent is aangevraagd. In tegenstelling tot concurrerende oplossingen voor geheimenbeheer integreert KSM in elke data-omgeving, zonder dat er extra hardware of in de cloud gehoste infrastructuur nodig is. Het biedt ook gebruiksklare integraties met tal van DevOps-tools, waaronder GitHub Actions, Kubernetes, Ansible en meer.
Nog geen Keeper-klant? Meld u nu aan voor een gratis 14-daagse proefperiode! Wilt u meer weten over hoe Keeper uw organisatie kan helpen om beveiligingslekken te voorkomen? Neem dan vandaag contact op met ons team.
