Een goed IT-geheimenbeheer is essentieel om uw organisatie te beschermen tegen cyberbedreigingen, vooral in DevOps-omgevingen. Veelvoorkomende CI/CD-pijplijntools zoals Jenkins, Ansible, Github Actions en Azure DevOps maken gebruik van geheimen om toegang te krijgen tot databases, SSH-servers, HTTPs-services en andere zeer gevoelige systemen.
Ondanks het cruciale belang van geheimenbeheer, blijkt uit Keepers Cybersecurity Census Report van 2022 dat bijna een derde van de organisaties (32%) geen speciale oplossing heeft om hun geheimen te beschermen. Daarnaast maakt maar liefst 84% zich zorgen over de risico’s van hard-coded inloggegevens in de broncode en heeft 25% geen software om deze te verwijderen.
Wat is DevSecOps?
Voordat we DevSecOps definiëren, moeten we het hebben over DevOps. DevOps is een filosofie voor softwareontwikkeling die de silo’s tussen softwareontwikkeling en IT-operaties wil doorbreken (daarom de naam ‘DevOps’), met als doel sneller kwaliteitssoftware te leveren. DevOps is een aanvulling op agile-softwareontwikkeling en leunt zwaar op het automatiseren van processen tijdens de levenscyclus van softwareontwikkeling (SDLC).
DevOps is echter niet alleen ontwikkeling en beheer. Beveiliging speelt ook een belangrijke rol. Daarom verscheen er DevSecOps, dat beveiligingsinitiatieven op elk niveau van de SDLC wil integreren om snel applicaties te leveren die niet alleen robuust maar ook veilig zijn.
Wat is geheimenbeheer?
Geheimenbeheer verwijst naar de tools en methoden die gebruikt worden om inloggegevens te beheren die toegang geven tot zeer geprivilegieerde systemen en gevoelige gegevens.
Simpel gezegd zijn geheimen eigenlijk gewoon wachtwoorden. In tegenstelling tot andere wachtwoorden worden geheimen echter gebruikt door applicaties en machines, niet door mensen. Veelvoorkomende soorten geheimen zijn:
Niet-menselijke inloggegevens, zoals voor serviceaccounts
Naast het beveiligen van IT-geheimen tegen cybercriminelen, zijn oplossingen voor geheimenbeheer ook nuttig voor het meer inzicht bieden aan DevSecOps-teams in hun gegevensomgeving, het voorkomen van een secrets sprawl en het veilig delen van geheimen.
Uitdagingen van geheimenbeheer voor DevSecOps
DevSecOps-teams krijgen te maken met aanzienlijke risico’s en uitdagingen op het gebied van geheimenbeheer. Laten we dieper ingaan op de meest voorkomende problemen.
1. Secrets sprawl
Er is sprake van secrets sprawl wanneer een organisatie geheimen over het hele netwerk opslaat, zonder een oplossing te gebruiken om ze te ordenen, beheren en beveiligen. Dit probleem wordt nog erger door de wijdverspreide toepassing van SaaS-apps en cloud-native ontwikkelingsmodellen. Hierdoor is het aantal geheimen van organisaties aanzienlijk toegenomen, terwijl hun opslag is gedecentraliseerd. In dit soort omgevingen hebben DevOps-teams niet de zichtbaarheid en het uniforme beheerbeleid om hun geheimen onder controle te krijgen, waardoor het aanvalsoppervlak en het risico op een gegevenslek toeneemt voor de organisatie.
2. Hard-coded en ingesloten inloggegevens
Hard-coded/ingesloten inloggegevens leiden vaak tot zowel secret sprawl als gegevensinbreuken. Veel slimme apparaten, andere hardware en zelfs softwareplatforms worden geleverd met hard-codes, standaard inloggegevens. Deze inloggegevens moeten worden gewijzigd voordat het product wordt gebruikt, maar als DevSecOps-teams geen zicht op hun gegevensomgeving hebben, gebeurt dat niet altijd. Als apparaten en apps worden gebruikt zonder de standaard inloggegevens te wijzigen, kunnen cybercriminelen hier eenvoudig toegang toe krijgen met scantools en de handleiding van het apparaat of de app. Deze handleidingen zijn online beschikbaar en bevatten de standaard inloggegevens.
Daarnaast hardcoderen ontwikkelaars soms geheimen in de broncode. Dit is een grote schending van de beste methoden voor applicatiebeveiliging, maar zonder zichtbaarheid kunnen DevSecOps-teams dit niet op een effectieve manier voorkomen.
3. Meerdere en losse toolsets
Veel tools die gebruikt worden in DevSecOps-omgevingen bevatten een ingebouwde geheimenbeheerder, waarmee teams hard-coded/ingesloten inloggegevens kunnen verwijderen. Deze tools voor geheimenbeheer werken echter alleen met de oplossingen waar ze aan gebonden zijn. Dit lost het grotere probleem van secrets sprawl niet op.
4. Zwakke wachtwoordbeveiliging
Zoals eerder vermeld in deze blog, zijn geheimen gewoon een ander type wachtwoord. Ze kampen dus met dezelfde beveiligingsproblemen als andere wachtwoorden. Soms worden geheimen in platte tekst opgeslagen, waardoor de toegang tot geheimen onbeveiligd blijft. Teamleden kunnen geheimen hergebruiken in verschillende applicaties of zwakke geheimen kiezen, zoals toetsenbordpatronen of woordenboekwoorden. Geheimen mogen niet worden gewijzigd of ingetrokken wanneer werknemers die er toegang toe hebben het bedrijf verlaten. Al deze problemen vergroten de kans op compromittering aanzienlijk, wat kan leiden tot een gegevenslek.
Hier moet u op letten bij een DevSecOps-oplossing voor geheimenbeheer
De beste manier om secrets sprawl tegen te gaan en inbreuken te voorkomen is het gebruik van een speciale oplossing voor geheimenbeheer met een veilige, gecentraliseerde kluis waarin geheimen worden opgeslagen.
Let bij het bekijken van DevSecOps-oplossingen voor geheimenbeheer op de volgende kenmerken:
Een flexibel implementatiemodel: de huidige gegevensomgevingen zijn zeer complex en elke omgeving is uniek. Zorg ervoor dat uw geheimenbeheerder in uw hele omgeving werkt: op locatie, in de cloud, in een multi-cloud of hybride omgeving.
AES-encryptie: om geheimen effectief te beveiligen, moet een geheimenbeheerder gegevens zowel onderweg als in rust versleutelen, maar dat is niet alles. Zorg ervoor dat de oplossing die u kiest 256-bits AES-versleuteling gebruikt, de gouden standaard bij banken en overheidsinstellingen.
Integratie met andere applicaties en services: de oplossing voor geheimenbeheer die uw organisatie gebruikt, moet naadloos integreren met populaire CI/CD-systemen en alle andere tools die in uw ontwikkelomgevingen worden gebruikt.
Zo beschermt Keeper de geheimen van uw bedrijf
Keeper Geheimenbeheerder is een cloudgebaseerde, zero-trust en zero-knowledge oplossing die DevSecOps-teams een gecentraliseerde kluis biedt die is geoptimaliseerd voor DevOps-omgevingen. Met Keeper Geheimenbeheerder halen alle servers, CI/CD-pijplijnen, ontwikkelaarsomgevingen en broncodes geheimen uit een veilig API-eindpunt. Elk geheim wordt versleuteld met een 256-bits AES-sleutel, die op zijn beurt wordt versleuteld door een andere AES-256-sleutel.
Keeper Geheimenbeheerder is een aanvullende oplossing van het Keeper Enterprise Wachtwoordbeheerder (EPM)-platform en is geïntegreerd in uw webkluis, beheerdersconsole en desktop-app. Het biedt ook verdere integraties met Keepers module Geavanceerde Rapportage en Alarmen, BreachWatch dark web-monitoring, SIEM-integratie, webhooks en nalevingsoplossingen.
Vraag een demo aan van Keeper Geheimenbeheerder om te zien hoe uw bedrijf secrets sprawl kan elimineren en uw omgeving kan beveiligen.
Teresa Rothaar
Teresa Rothaar is a governance, risk, and compliance (GRC) analyst at Keeper Security. In this role, she spearheads employee cybersecurity awareness training; maintains the company’s RFP response library; creates and maintains internal security policies; develops automated GRC processes to achieve robust risk management and compliance results; performs external vendor risk assessments; and facilitates third-party certification audits. Prior to joining Keeper, she spent six years as a cybersecurity copywriter, where she produced hundreds of blogs and ghostwritten articles, dozens of whitepapers and case studies, and other thought leadership content for cybersecurity firms ranging from small startups to multinational corporations. She holds an MBA and an M.S. in management information systems from Wilmington University, and a B.S. in mathematics and computer science from Temple University.
Haal het nieuwste cyberbeveiligingsnieuws en -updates die direct naar uw inbox worden gestuurd
Deel dit blog
Dit vindt u mogelijk ook leuk
Acht veelvoorkomende aanvalsvectoren waar organisaties zich bewust van moeten zijn
Een aanvalsvector, ook wel een dreigingsvector genoemd, is een manier voor cybercriminelen om toegang te krijgen tot het netwerk of systeem van een organisatie. Enkele veelvoorkomende soorten aanvalsvectoren waar organisaties zich tegen moeten verdedigen, zijn zwakke...