Das Secrets Management-Einmaleins
Egal ob in der Cloud oder in eigenen Rechenzentren, moderne Apps erfordern immer mehr unterschiedliche digitale Secrets. Diese Secrets werden von Apps verwendet, um Datenflüsse mit verschiedenen anderen Systemen wie APIs, Datenbanken oder Cloud-Diensten zu schützen und die jeweiligen Identitäten gegen diese Systeme zu authentifizieren. In Zeiten der Digitalen Transformation und zunehmender Automatisierung gewinnen Secrets an Bedeutung, weil sie manuelle Authentifizierungsprozesse ablösen. Damit das Sicherheitsniveau gehalten werden kann, ist es wichtig diese Secrets über deren gesamten Lebenszyklus sicher zu verwalten. Dafür braucht es Secrets Management!
Was ist Secrets Management?
Secrets Management ist ein Sammelbegriff für Werkzeuge und Prozesse zur Gewährleistung, dass digitale Zugangsdaten über ihren gesamten Lebenszyklus sicher gespeichert, deren Zugriffe und Verwendung überwacht und zentral verwaltet werden. Dazu zählen Passwörter, API-Tokens, SSH-Schlüssel und Zertifikate. Die Secrets werden von Benutzern oder Systemen verwendet, um sich gegenüber anderen Diensten und Ressourcen innerhalb einer IT-Umgebung zu authentifizieren.
Durch die Reduktion des menschlichen bzw. manuellen Eingriffs im Secrets Management können Organisation Datenabflüsse, Identitätsdiebstahl und andere Identitätsbezogene Probleme effektiv abwehren und unberechtigte Zugriffe auf sensible Daten und Systeme verhindern.
Best Practices
Um Secrets Management effektiv einzusetzen, gilt es, einige Best-Practices einzuhalten.
Wie so oft, beginnt es bei den einfachen Dingen. Damit man einen Überblick über die abzusichernden Systeme erhält, ist es wichtig ein umfangreiches Inventar verwendeter Secrets anzulegen. Dieses lässt sich häufig von einem oft bereits bestehenden System-Katalog ableiten, indem zu jedem System die zugehörigen Zugangsdatentypen identifiziert werden und das Secrets Management in den Inventarisierungsprozess von neuen Systemen mit aufgenommen wird.
Neben der Menge der Secrets sollte man auch wissen, welche Qualität bzw. Kritikalität bestimmte Secrets haben. Das wiederrum lässt sich meistens aus dem Schutzbedarf der zugehörigen Applikationen/Systemen ableiten. Hier zahlt es sich aus, wenn bereits eine Informationsklassifizierung vorab durchgeführt wurde!
Kernelement von gutem Secrets Management ist die Automatisierung! Im besten Fall wird der gesamte Lebenszyklus eines Secrets komplett automatisiert, um Aufwände zu reduzieren und die bestmögliche Sicherheit zu gewährleisten.
Mit einem hohen Automatisierungsgrad ist auch eine regelmäßige Rotation von Secrets kein Problem mehr, um langlebige Secrets zu vermeiden. Wird ein Secret längere Zeit nicht gewechselt, bekommen immer mehr Benutzer und Systeme Zugriff darauf und setzen dieses mehreren Angriffsvektoren aus.
Sobald Secrets Management großflächig in einer Organisation eingesetzt wird, werden die Themen Rollentrennung und Rechteverwaltung immer wichtiger. Dabei gelten die allgemein gültigen Prinzipien von Least-Privilege und Need-To-Know – im Fall von Secrets Management heißt das, dass nicht mehr benötigte Zugriffe widerrufen werden und aktive Sessions überwacht werden, um Nachvollziehbarkeit zu erlangen.
Neben dem Zugriff auf Daten müssen auch die Daten selbst geschützt werden – dafür bietet sich Verschlüsselung und ein zugehöriges Key Management an, um für die Verschlüsselung nicht nur den Lebenszyklus der Schlüssel zu verwalten, sondern auch unterschiedliche Möglichkeiten und Methoden von Verschlüsselung für unterschiedliche Daten und System bereitzustellen.
Als letzter und wichtigster Best Practice sei erwähnt, dass ein Secrets Management nur wirksam sein kann, wenn die Mitarbeiter:innen es einsetzen. Deshalb müssen diese geschult und von der Wirksamkeit des Prozesses überzeugt sein.
Wie wählt man die richtige Secrets Management-Lösung aus?
Die folgenden Punkte sollten bei der Auswahl der passenden Secrets Management-Lösung berücksichtigt werden:
- Prüfen Sie, welche Lösungen am Markt angeboten werden. Betrachten Sie dabei sowohl kommerzielle als auch frei verfügbare bzw. OpenSource-Lösungen.
- Berücksichtigen Sie spezifische Anforderungen und Anwendungsfälle Ihrer Organisation. Prüfen Sie, ob die identifizierten Tools die aktuellen und zukünftigen Geschäftsanforderungen erfüllen. Sollte Ihre Organisation schnell wachsen, ist es entscheidend, dass die Lösung skalierbare Integrationsmöglichkeiten mit Unterstützung für eine Vielzahl von Plugins bietet.
- Evaluieren Sie das Sicherheitsniveau und die eingesetzten kryptographischen Verfahren der Lösungen. Sind Features wie Secrets-Rotation, Just-in-Time-Zugriffe und adäquate Maßnahmen gegen Providerzugriffe implementiert?
- Achten Sie darauf, dass sich die Lösung in Ihre bestehende IT-Infrastruktur integrieren lässt. Die richtige Lösung muss quer über alle Plattformen und Umgebungen die gleichen Workflows bieten und unabhängig von Cloud oder On-prem-Ressourcen funktionieren. Dazu gehören vor allem friktionsfreie Integrationsmöglichkeiten in Container-basierte Systeme wie Kubernetes und Docker.
- Prüfen Sie, ob die Dokumentation und der Support zur Lösung Ihren Anforderungen entsprechen.
- Bedenken Sie die Kosten für den Einsatz einer Lösung. Neben Lizenzierung und Verwendung, müssen auch die Kosten für den Betrieb mit in Betracht gezogen werden. Vor allem im Fall einer notwendigen Erweiterung sollten Sie im Blick haben, wie die Lösung skaliert.
- Abschließend sei erwähnt, dass mittels PoC bzw. einer praktischen Testphase noch die meisten Erkenntnisse gewonnen wurden. Deshalb ist empfohlen, Lösungen vor produktiven Einsatz und Anschaffung ausführlich zu testen.
TL;DR
Secrets Management, Verschlüsselung und Schlüsselverwaltung tragen gemeinsam dazu bei, dass Organisationen unbefugten Zugriff auf sensible Daten und Systeme verhindern und sol Datenlecks sowie Identitätsdiebstahl oder -manipulation vermeiden. Da Secrets die am meisten ins Visier genommenen Ziele und der Hauptvektor von Datenlecks sind, sind diese Sicherheitslösungen der beste Weg, um Organisationen vor aufkommenden Bedrohungen zu schützen.
Damit der Schutz jedoch wirksam und robust ist, müssen Organisationen diese Bedrohungen im Auge behalten und ihre Reaktionen entsprechend anpassen. Dies betrifft auch das Management von Secrets und Schlüsseln, bei dem Agilität angesichts der Entwicklungen in der Post-Quanten-Kryptographie eine Schlüsselfunktion ist.
Organisationen sollten das Secrets Management priorisieren, um die Herausforderungen der unkontrollierten Verbreitung von Secrets zu minimieren und sicherzustellen, dass ihre Prozesse sicher und geschützt sind.
