Das rasante Tempo von DevOps hat erheblich zum Wachstum der Cloud-Einführung und -Bereitstellung beigetragen. Infolgedessen hat sich auch die Rolle der Public Key Infrastructure (PKI) durch ein wachsendes Ökosystem von Tools und Anwendungen erweitert, die entweder digitale Zertifikate ausstellen oder verbrauchen - wie Hashicorp Vault.
Die rasche Einführung dieser Tools hat dazu geführt, dass InfoSec-Teams ihre Denkweise über PKI und die Verwaltung von Schlüsseln und Zertifikaten geändert haben. Jetzt stellen sie sich Fragen wie:
- Woher weiß ich, wie viele Schlüssel und Zertifikate ich im Bestand habe?
- Wie kann ich diese Schlüssel und Zertifikate effektiv verfolgen und verwalten?
- Wie kann ich sicherstellen, dass jedes Zertifikat von einer vertrauenswürdigen und autorisierten CA ausgestellt wird?
- Wie verwalte ich die Back-End-PKI in dieser Multi-Cloud-Umgebung?
Bevor wir uns jedoch diesen Fragen zuwenden, wollen wir erörtern, wie HashiCorp Vault in dieses Bild passt und welche Herausforderungen der Einsatz von PKI in einer DevOps-Umgebung mit sich bringt.
Der Wert von Vault für Entwickler
HashiCorp Vault hat sich zu einem Schwerpunkt in der DevOps-Infrastruktur von Unternehmen entwickelt. Es ermöglicht Entwicklern die zentrale Speicherung und strenge Kontrolle des Zugriffs auf Geheimnisse und bietet Zugriff über eine gemeinsame API.
Vault kann auch als CA (Zertifizierungsstelle) fungieren, indem es seine integrierte PKI Secrets Engine nutzt, um kurzlebige TLS Zertifikate auszustellen. Diese werden von Entwicklern und Betriebsteams verwendet, um die Maschine-zu-Maschine-Kommunikation zwischen Servern, Containern, Dienstnetzen usw. zu sichern.
DevOps-Teams lieben Vault, weil sie damit schnell und einfach auf Zertifikate zugreifen können, ohne die typischen manuellen Prozesse durchlaufen zu müssen, die mit dem Erhalt eines sicherheitsgenehmigten Zertifikats vom PKI- oder InfoSec-Team verbunden sind. Dank seiner Flexibilität kann Vault auch selbst signierte Zertifikate generieren oder so konfiguriert werden, dass Zertifikate von einer untergeordneten CA wie Microsoft CA ausgestellt werden.
Aber wie jedes Tool in einer DevOps-Umgebung muss auch Vault so implementiert und gehandhabt werden, dass es den Sicherheitsanforderungen des Unternehmens entspricht.
Das größere Bild: DevOps vs. InfoSec
Wenn wir einen Schritt zurücktreten, um das Gesamtbild zu betrachten, hat die Verwendung von Schlüsseln und Zertifikaten in den meisten Unternehmen rasch zugenommen. Das hat die Art und Weise, wie wir über PKI denken, sehr viel komplexer gemacht.
Sie kennen das: DevOps will schnell sein, aber InfoSec muss Sicherheitskontrollen durchsetzen - bei PKI ist das nicht anders.
Anwendungs- und Betriebsteams sind nicht so sehr daran interessiert, woher ein Zertifikat stammt oder welche Richtlinien es erfüllt. Ihre Aufgabe ist es, Anwendungen effizient zu erstellen, zu verpacken, zu testen und bereitzustellen, und nicht, Zertifikate zu verwalten. Das bedeutet oft, dass Wege gefunden werden müssen, um zeitaufwändige PKI-Prozesse zu vermeiden und stattdessen unproblematische Workarounds zu verwenden.
Bei der Menge an selbstsignierten Zertifikaten, die ausgestellt werden, und der Fülle an Tools, die über ihre eigenen integrierten Zertifizierungsstellen verfügen (z. B. Ansible, Kubernetes, AWS, Azure), verlieren die meisten Sicherheitsteams den Überblick darüber, wie viele Schlüssel und Zertifikate sie tatsächlich besitzen. Das Wissen darüber, wo sich diese Schlüssel und Zertifikate befinden, wann sie ablaufen oder mit welchen Richtlinien sie übereinstimmen, ist bei einer derartig verteilten Menge an Tools und Anwendungen schwer zu erreichen. Diese Unbekannten führen zu ernsthaften Sicherheitsrisiken und zertifikatsbezogenen Ausfällen.
Wenn etwas schief geht - zum Beispiel, wenn ein Zertifikat abläuft oder eine Zertifizierungsstelle kompromittiert wird - kann es Stunden dauern, das Problem zu finden und zu beheben, was zu Ausfallzeiten und Produktivitätsverlusten führt. Ohne direkte Verantwortlichkeit wird das Ganze zu einem Katz-und-Maus-Spiel zwischen DevOps- und InfoSec-Teams.
Es sei denn, es gibt eine Lösung, die die Sichtbarkeit und Kontrolle bietet, die InfoSec benötigt, ohne die für DevOps erforderliche Automatisierung und den einfachen Zugriff zu beeinträchtigen.
Keyfactor Integration des Tresors
Durch die Verwendung der Keyfactor Secrets Engine mit HashiCorp Vault können Unternehmen Vault so einsetzen und nutzen, dass sowohl die InfoSec- als auch die DevOps-Teams zufrieden sind.
Die Integration beginnt damit, dass Sie einen Überblick über die Zertifikate in allen Ihren Vault-Instanzen erhalten und diese in einem einzigen Unternehmensinventar zusammenführen. Auf diese Weise können Sie dieselben konsistenten Richtlinien, Compliance- und Auditsysteme anwenden und gleichzeitig sicherstellen, dass alle Zertifikate von einer autorisierten und vertrauenswürdigen öffentlichen oder privaten Zertifizierungsstelle ausgestellt werden - oder von der Cloud-gehosteten PKI-Plattform von Keyfactor.
Der Kampf zwischen DevOps- und InfoSec-Teams ist real, aber es gibt eine Möglichkeit, ein angemessenes Sicherheitsniveau ohne Unterbrechungen zu erreichen. Mit der Keyfactor Secrets Engine erhält das InfoSec-Team eine standardisierte Möglichkeit zur Integration mit Vault. DevOps-Teams können Zertifikate mit denselben nativen Vault-APIs und -Befehlen ausstellen, die sie gewohnt sind, und erhalten Zugriff auf öffentlich vertrauenswürdige Zertifikate, die in der Produktion verwendet werden.
In unserem On-Demand-Webinar erhalten Sie einen Einblick in die Integration von Keyfactor mit Hashicorp Vault:
