Was ist Secrets Management?

Über Secrets Management erfolgt die Kontrolle von IT-Zugangsdaten wie Passwörtern, API-Schlüssel (Application Programming Interface) und Konfigurationsdateien. IT-Organisationen nutzen Secrets Management, um sensible Informationen vertraulich und auf dem neuesten Stand zu halten sowie kontrollierte Ressourcen für die Personen und Systeme verfügbar zu machen, die diese benötigen.

Das Secrets Management ist ein weit gefasstes Konzept. In einer Unternehmensumgebung bedeutet ein gutes Secrets Management in der Regel, dass ein zentraler Ort für die Speicherung der Secrets vorhanden ist und dieses Secrets Repository in Tools zur IT-Automatisierung integriert wird. Für Software-Entwicklungsteams kann Secrets Management Teil der DevSecOps Workflows sein. In diesem Artikel gehen wir ausführlicher darauf ein, wie Secrets Management für Unternehmen funktioniert und welche Vorteile es bieten kann.

Secrets sind wertvoll. Deshalb schreiben Sie Ihre Passwörter nicht auf einen Notizzettel an Ihrem Computer. (Wenn Sie das tun, empfehlen wir dringend ein besseres Secrets Management!) Die Offenlegung eines Secrets kann einem Hacker Zugriff auf sensible Daten verschaffen oder ihm sogar Zugang zu weiteren Secrets ermöglichen, sodass er sich lateral durch Ihre Systeme bewegen kann.

Die Alternative zum Secrets Management ist die herkömmliche Methode, mithilfe manueller Prozesse den Überblick über vertrauliche Daten zu behalten. Stellen Sie sich vor, dass alle Mitglieder Ihres Teams von Zeit zu Zeit Zugriff auf verschiedene Konten benötigen. Sie fügen daher sämtliche Anmeldedaten in ein Dokument ein und geben dieses an das gesamte Team weiter. Das mag für eine Weile funktionieren, aber Sie haben mehr Zugriff als nötig gewährt. 

Dies kann auf viele Arten für Verwirrung sorgen und unnötige Risiken mit sich bringen. Vielleicht ändert eine Person ein Passwort, vergisst aber, die Liste zu aktualisieren. Oder eine Person kopiert die Liste, und dann gibt es mehrere Versionen davon. Oder eine Person löscht die Liste versehentlich. Oder eine Person codiert ein Passwort in ein Skript und überträgt es per Push an ein öffentliches Repository, wodurch ein Secret der Öffentlichkeit zugänglich gemacht wird. Oder der Arbeits-Account einer Person wird gehackt und ein Hacker erlangt so Zugriff auf die Liste und auf sämtliche Informationen, worauf die Liste Zugriff gewährt.

Das Secrets Management bietet Möglichkeiten, diese Probleme zu vermeiden. Es ist nicht notwendig, jederzeit sämtliche Sicherheitskontrollen zu maximieren. Ein effektives Secrets Management beinhaltet vielmehr die strategische Anwendung von Sicherheitsoptionen, um die Gefahr einer Kompromittierung von Secrets in bestimmten Bereichen zu reduzieren. Zu den Grundlagen eines guten Secrets Managements gehören:

• Identitäts- und Zugriffsmanagement (IAM): Mit IAM können Sie die Nutzerauthentifizierung über 1 System handhaben und anschließend Nutzende mit anderen Systemen verbinden. Die zentralisierte Authentifizierungsverwaltung basiert auf Standards wie dem Lightweight Directory Access Protocol (LDAP) und Security Assertion Markup Language (SAML).
• Verschlüsselung von Zugangsdaten: Verschlüsselung wandelt ein Secret in eine Zeichenfolge um, die ohne Entschlüsselungsschlüssel nicht lesbar ist. Das häufig für den Remote-Zugriff verwendete Secure Shell-Protokoll (SSH) basiert auf Verschlüsselungsschlüsseln. Sie können aus verschiedenen Stärken der kryptografischen Verschlüsselung wählen und Standardverfahren wie das wöchentliche Rotieren von Verschlüsselungsschlüsseln übernehmen. Verschlüsselung steht im Gegensatz zur Kodierung, bei der ein Secret auf standardisierte Weise so verändert wird, dass es leicht wieder rückgängig gemacht werden kann.
• Role-based Access Control (RBAC): RBAC bietet Zugriff auf Ressourcen basierend auf der Rolle des Nutzenden innerhalb eines Teams oder einer größeren Organisation. So können IT-Administrationsteams Nutzende nach Aufgaben gruppieren und Berechtigungen für die gesamte Gruppe auf einmal verwalten, anstatt nur für jeweils einen Nutzenden.
• Verwaltung von Zertifikaten: Zertifikate sind kryptografische Protokolle, die die netzwerkübergreifende Kommunikation schützen. SSL- (Secure Sockets Layer) und TLS-Zertifikate (Transport Layer Security) sind die Standards für die Internetkommunikation. Um Vertrauen zu schaffen, benötigt ein Server ein digitales Zertifikat, das von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurde. SSL-Zertifikate müssen regelmäßig erneuert werden und ein Secrets Management-System kann diesen Prozess automatisieren und kontrollieren.
• Zero Trust-Prinzipien: Zero Trust ist ein Ansatz für Sicherheitsarchitekturen, der davon ausgeht, dass sämtliche Interaktionen zunächst in einem nicht vertrauenswürdigen Zustand beginnen. Dieser Ansatz hat in den letzten Jahren an Popularität gewonnen. Der Zugriff auf sensible Ressourcen wird nur auf granularer Basis gewährt. Zero Trust basiert auf dem Konzept der Least Privilege-Prinzipien, das heißt, Nutzende erhalten nur Zugriff auf die Ressourcen, die sie wirklich benötigen.

Das Secrets Management basiert nicht auf 1 Konzept oder 1 Methode. Es geht vielmehr darum, eine Vielzahl gängiger Strategien in einem zentralen, automatisierten Prozess zu vereinen.

Secrets Management schützt nicht nur Ihre Daten, sondern verbessert auch Ihre gesamten Abläufe in anderer Hinsicht:

• Vermeidung von Sicherheitsinseln: Durch die zentralisierte Kontrolle von Secrets können Sie verhindern, dass nur eine kleine Gruppe innerhalb Ihrer Organisation über einen speziellen Zugriff verfügt, den sonst niemand hat.
• Identifizierung böswilliger Akteure: Durch das Einführen strenger Überprüfungsanforderungen können Sie potenzielle Hacker leicht abwehren und deren Versuche unterbinden, sich als berechtigte Nutzende auszugeben.
• Automatisierung von Zugangsdaten: Durch Automatisieren Ihrer Zugangsprüfung und Zulassung reduzieren Sie den manuellen Aufwand für das Authentifizieren von Nutzenden und ermöglichen einen reibungslosen Workflow.

In einer Computing-Umgebung für Unternehmen sind die Risiken höher und die Verwaltung von Secrets komplexer. Administrationsteams müssen den Zugriff auf viele verschiedene Systeme und Datensätze verantwortungsvoll zuweisen, und viele Nutzende benötigen für unterschiedliche Zeiträume Zugang zu verschiedenen Ressourcen. Das Management von Enterprise Secrets ist ein gut entwickelter Bereich mit vielen Möglichkeiten, darunter auch Open Source-Lösungen.

Red Hat® Ansible® Automation Platform und Red Hat OpenShift® basieren auf offenen Standards und bieten die Integration mit vielen Tools für das Secrets Management. Die Secrets Management-Funktionen von Ansible Automation Platform umfassen Integrationen mit anderen wichtigen Plattformen wie HashiCorp Vault, CyberArk, AWS Secrets Manager, Azure Key Vault und mehr.

HashiCorp Vault

HashiCorp Vault ist eine zentralisierte Plattform für IAM und Secrets Management. Vault bietet dynamische, zeitlich begrenzte Zugangsdaten und unterstützt Sie beim Verwalten einer Single Source of Truth für sensible Daten. Vault-Agenten lassen sich in Red Hat Ansible Automation Platform und Red Hat OpenShift integrieren, um Zugangsdaten und Zertifikate in benutzerdefinierten IT-Umgebungen zu verwalten.

Mit Vault und Red Hat Ansible Automation Platform können Sie Zugriffskontrollen sowie Compliance-Audits und Problembehebungen durchsetzen. Sie profitieren von den Vorteilen einer zentralisierten Governance, wie reduzierten Risiken, vereinfachten Audits und der Gewissheit, dass Ihre Infrastrukturänderungen konform und nachverfolgbar sind.

Mehr über Red Hat und HashiCorp erfahren

CyberArk

Sicherheit von Zugangs- und sonstigen Daten mit Red Hat und CyberArk (2:03)

CyberArk bietet eine IAM- und Secrets-Plattform zur Verwaltung des Nutzerzugriffs auf Ressourcen. Red Hat Ansible Automation Platform lässt sich mit CyberArk Conjur integrieren, und unterstützt Sie beim Anwenden von Sicherheitsrichtlinien und beim Verwalten von Secrets in Ihren Anwendungsumgebungen, unter anderem für DevOps- und CI/CD-Tools (Continuous Integration und Continuous Delivery).

Sie können Best Practices für Secrets Management automatisch in den gesamten DevOps-Prozess einbinden. Dies kann das Provisionieren von Secrets für den Einsatz in Anwendungen, das Rotieren von Secrets auf Basis der Sicherheitsrichtlinien des Unternehmens, das Überwachen privilegierten Zugriffs durch Nutzende, das Verbessern der Transparenz, das Einhalten von Compliance-Standards und vieles mehr umfassen.

Mehr über Red Hat und CyberArk erfahren

Secrets Management in Kubernetes-Umgebungen

In Kubernetes-Deployments wie Red Hat OpenShift Umgebungen werden Anwendungen in Container-Flotten organisiert, die Zugriff auf Secrets benötigen, um mit anderen Systemen zu kommunizieren und die beabsichtigten Funktionen auszuführen.

Die 2 wichtigsten Methoden für das Secrets Management in Kubernetes sind Umgebungsvariablen und Volume Mounts.

• Bei Umgebungsvariablen werden die Key Value-Paare des Secrets als Umgebungsvariablen direkt in den Container eingefügt.
• Mit Volume Mounts wird das Secret als eine Reihe von Dateien im Dateisystem des Containers gemountet. Der Anwendungscode liest die Secret-Daten aus diesen Dateien.

Volume Mounts bieten verschiedene Sicherheitsvorteile und sind der empfohlene Ansatz für Red Hat OpenShift. Das Sicherheitsmodell von Red Hat OpenShift bietet grundlegenden Schutz für Umgebungsvariablen. Das standardmäßige Mounten von Volumes ist jedoch ein Schritt, der dazu beiträgt, Secrets so gut wie möglich zu schützen.

Eine ähnliche Idee, Kubernetes Secrets, verwendet Objekte, um vertrauliche Daten vom Code einer Anwendung zu trennen, damit Secrets nicht im Code selbst offengelegt werden. Dies entspricht den Vorgehensweisen bei der Sicherheitsarchitektur in GitOps.

Mehr über Secrets in Red Hat OpenShift erfahren

Red Hat wendet Open Source-Sicherheitsprinzipien an, um die digitalen Sicherheitsbedrohungen für die Communities unserer Kunden, Mitwirkenden und Partner zu minimieren. Dazu gehören der Support für das in Produkte integrierte Secrets Management sowie die Integrationen mit anderen Lösungen für Secrets Management. 

Red Hat Enterprise Linux® bietet eine Basis für zentralisiertes Identitätsmanagement, Authentifizierung und Autorisierung in hoch dynamischen und skalierbaren Umgebungen.

Red Hat OpenShift ermöglicht integrierte Sicherheitskontrollen für containerbasierte Anwendungsentwicklung, einschließlich Strategien für das Secrets Management, die einem DevOps-Ansatz folgen.

Red Hat Ansible Automation Platform kann Sie dabei unterstützen, eine zentralisierte Automatisierung für das Secrets Management zu etablieren und Integrationen mit gängigen Repositories zu ermöglichen.