Aufbau einer sicheren DevOps-Umgebung

Die schnell wachsende DevOps-Bewegung bietet eine enorme Chance, mit Hilfe eines dynamischen, automatisierten kollaborativen Prozesses Lösungen mit kürzerer Time-to-Market zu entwickeln. Dieses Container-Ökosystem ist auf kontinuierliche Integration ausgerichtet, die Sicherheit stand bei der Entwicklung allerdings nicht im Vordergrund. Daher sehen sich Unternehmen häufig gezwungen, schwierige Kompromisse zwischen Geschwindigkeit, Effizienz und Sicherheit einzugehen.

Dies wird besonders deutlich, wenn es um privilegierte Accounts geht. Aufgrund der dynamischen Natur der DevOps-Umgebung wächst die Zahl neuer privilegierter Accounts in der IT-Infrastruktur rapide an, was zu einer großen Angriffsfläche führt. Privilegierte Anmeldeinformationen sind bei Angreifern heiß begehrt, denn sie bieten umfassenden Zugriff. Diese Daten sind in viele DevOps-Lösungen eingebettet, beispielsweise Automatisierungs-, Konfigurations- und Orchestrierungstools, die in der Umgebung laufen. Die Sicherung und Rotation dieser eingebetteten, gemeinsam genutzten Anmeldeinformationen ist jedoch schwierig, ohne Unterbrechungen des CI/CD-Arbeitsflusses (Continuous Integration/Continuous Deployment) zu riskieren. Und da Entwickler den schnellen, einfachen CI/CD-Workflow brauchen, um ihre Arbeit effektiv durchzuführen, erhalten sogenannte „Heartbeat“-Benutzer (d. h. Entwickler, IT-Betrieb und Administratoren) oft weit mehr Privilegien als nötig. So kann praktisch jeder Benutzer potenziell Systeme verwalten, Code entwickeln und auf die gesamte Produktionsumgebung zugreifen.

Die aktive, sich rapide wandelnde DevOps-Umgebung macht die Wahrung von Sichtbarkeit und Kontrolle über alle Konten für Unternehmen heute zu einer großen Herausforderung.

Um die DevOps-Umgebung zu sichern, privilegierte Accounts zu sperren und letztendlich Datenpannen und andere Risiken zu verhindern, müssen Unternehmen proaktiv Sicherheitskontrollen implementieren, die:

  • Privilegierte Accounts verwalten, sichern und den Zugriff kontrollieren. Alle privilegierten Accounts in der DevOps-Umgebung müssen verwaltet und gesichert werden. Hierzu sollten Anmeldeinformationen zentral gespeichert und regelmäßig rotiert werden. Um Funktionstrennung zu gewährleisten, sollte der Zugriff auf Anmeldeinformationen kontrolliert werden, damit nur autorisierte Benutzer auf privilegierte Accounts zugreifen können.
  • Anmeldeinformationen sichern, die von Applikationen und Skripten verwendet werden. Anmeldedaten, die von DevOps-Lösungen zur Authentifizierung und zum Zugriff auf sensible Ressourcen verwendet werden, sollten verwaltet und gesichert sein. Sie sollten aus Codes und Konfigurationsdateien entfernt werden, in einem zentralen Repository sicher gespeichert und regelmäßig rotiert werden. Außerdem sollte jede Anwendungsinstanz ein eigenes Konto und spezifische Anmeldedaten besitzen. Diese Anmeldeinformationen sollten außer Dienst gestellt werden, sobald sie nicht mehr benötigt werden.
  • Anwendungs- und Container-Zugriff auf sensible DevOps-Ressourcen authentifizieren und autorisieren. Um böswillige Applikationen aus dem DevOps-Ökosystem fernzuhalten, sollten Zugriffsanfragen für verschiedene DevOps-Ressourcen sowie Online-Anfragen zwischen Anwendungen und Services nur nach gültiger Authentifizierung des Access Requestors (Anwendungen und Container) gewährt werden.
  • Das Least-Privilege-Prinzip umsetzen. Um das Risiko von Fehlern und Privilegienmissbrauch zu reduzieren, sollten Unternehmen den privilegierten Zugang einschränken und die Eskalation von Privilegien zentral verwalten. Dies ist besonders bei Service-Accounts wichtig: Für jedes dieser Konten, das von COTS- oder CI/CD-Tools verwendet wird, sollten Provisionierung und Deprovisionierung automatisch ablaufen, wobei das Least-Privilege-Prinzip sowie die Zugriffsrichtlinien des Unternehmens gewahrt werden müssen.
  • Benutzeraktivität überwachen. Um eine Umgebung effektiv zu kontrollieren, ist es erforderlich, die Aktivitäten von Entwicklern über den gesamten Software-Entwicklungsprozess hinweg zu verfolgen und zu wissen, wer ein Image erstellt und in der Registry gespeichert hat, wer Veränderungen an Privilegien, Namensräumen, Prozessen und Policy-Vorgaben vorgenommen hat.

Die DevOps-Umgebung ist nur so sicher wie die privilegierten Anmeldeinformationen, die für den Zugriff auf sensible Daten notwendig sind. Motivierte Angreifer sind sich des explosiven Wachstums privilegierter Accounts im Container-Ökosystem bewusst und visieren diese Konten daher oft gezielt an, als Teil deskritischen Pfades zu einer erfolgreichen Cyber-Attacke. Daher müssen privilegierte Anmeldeinformationen, die im Rahmen des Entwicklungszyklus verwendet werden, konsequent geschützt werden – und zwar von Anfang an, sobald ein neuer Benutzer oder ein Asset eingerichtet wird, nicht erst im Nachhinein.

Die CyberArk-Sicherheitslösung für Privileged Accounts wird in die DevOps-Pipeline integriert, damit jedes privilegierte Konto vom Moment der Einrichtung an geschützt ist.

Hauptvorteile:

  • Zentralisierte Sicherung und Verwaltung von Anmeldeinformationen Privilegierte Anmeldeinformationen (PasswörterSSH-Keys und API-Keys) von Benutzern, Anwendungen und DevOps-Tools werden vom Moment ihrer Einrichtung an automatisch gesichert und verwaltet.
  • Schutz, Management und Prüfung von Anmeldeinformationen, die von Applikationen und DevOps-Ressourcen verwendet werden. Zentrale Speicherung, Sicherung und Zugriffskontrolle für Anmeldeinformationen, die in Anwendungen, Tools und Skripte eingebettet sind.
  • Gezielte Zugriffssteuerung nach dem Least-Privilege-Prinzip. Implementierung von Least-Privilege-Richtlinien, indem der Zugriff auf DevOps-Ressourcen durch privilegierte Benutzer basierend auf deren Funktionen und Aufgaben kontrolliert wird.
  • Sicherer, kontrollierter Benutzerzugriff auf sensible DevOps-Ressourcen. Der Zugriff auf DevOps-Ressourcen wird über einen einzigen Zugriffskontrollpunkt zentralisiert; dies gewährleistet maximale Kontrolle und Sichtbarkeit.
  • Kontinuierliche Überwachung aller privilegierten Benutzeraktivitäten und Meldung verdächtigen Verhaltens. Alle Aktivitäten werden überwacht und analysiert, um unbefugte und verdächtige Aktivitäten schnell zu ermitteln und die negativen Auswirkungen auf die Umgebung zu reduzieren.

Um zu erfahren, wie Sie Ihre privilegierten Accounts in einer DevOps-Umgebung schützen können, wenden Sie sich an uns.