gesponsertHashiCorp Vault – damit Geheimnisse geheim bleiben Sensible Daten schützen und verwalten

Sensible Daten unterliegen in den Behörden besonders hohen ­Datenschutzanforderungen, um die strengen Auflagen des BSI zu erfüllen. Mit HashiCorp Vault kann die Öffentliche Verwaltung ihre sensiblen Informationen nicht nur schützen, sondern auch effizient verwalten.

Längst hat sich in der IT die Verwendung von verteilten Systemen und Diensten durchgesetzt. Dabei ermöglichen standardisierte Schnittstellen (APIs) die Nutzung von Funktionalitäten, ohne dass Spezialkenntnisse erforderlich sind. Gleichzeitig wird Automatisierung im Zeitalter der Digitalisierung immer wichtiger. Deshalb spielen Maschinenidentitäten, die zur Authentifizierung und Autorisierung von Systemen sowie Schnittstellen benötigt werden, eine immer größere Rolle.

Dennoch sind die Methoden, um Schlüssel und Passwörter zu verwalten, längst noch nicht auf dem neuesten Stand. Ähnlich wie intelligente, programmierbare Schlüsselkarten im Hotel, mit denen ein Gast für die Dauer des Aufenthalts sowohl Zimmertür öffnen als auch andere Leistungen nutzen kann, bedarf es auch bei der Verwaltung von Schlüsseln in der IT intelligenter Schlüssel, die den Anforderungen der Automatisierung gerecht werden.

Geheimnisse bewahren

Neben API-Schlüsseln sowie privaten Schlüsseln von Zertifikaten und Passwörtern sind auch andere Zugangsdaten, die von Servern, Anwendungen sowie Diensten genutzt werden, entsprechend sicher aufzubewahren. Die nächste große Herausforderung stellt die zunehmende Menge der Systeme und die damit einhergehende Anzahl an Geheimnissen dar. Ein Beispiel ist die bislang übliche Praxis, ­Serverzertifikate manuell auszustellen und zu erneuern. Das ist nicht nur aufwändig, es besteht auch das Risiko von Ausfällen, wenn die Erneuerung nicht rechtzeitig erfolgt. Der Trend zu immer kürzeren Zertifikatslaufzeiten verschärft diese Problematik weiter.

Automatisierte ­Verwaltung und Sicherheit

Hier setzt HashiCorp Vault an und fokussiert sich auf die Automatisierung der Verwaltung von Schlüsseln und Maschinenidentitäten mit programmierbaren Konfigurationen sowie Schnittstellen. Je nach Anwendungsfall kommen verschiedene „Engines“ des Vault Systems zum Einsatz. Zum Beispiel die „Key Value Engine“. An diese können Geheimnisse übergeben und später wieder abgerufen werden. So wird ein Angebot geschaffen, damit geheimes Schlüsselmaterial nicht unverschlüsselt auf File­shares, Datenbanken, GitLab und anderen Orten aufbewahrt werden muss. Ein weiterer Anwendungsbereich sind die „Dynamic Secret Engines“, welche automatisiert Zugangsdaten zu Datenbanken und Verzeichnisdiensten bereitstellen. Durch die kurze Gültigkeitsdauer dieser Zugangsdaten von wenigen Minuten, entsteht der sicherheitstechnische Mehrwert. Alle Geheimnisse werden zentral zur Verfügung gestellt, während das aufrufende System die Passwörter nur im Arbeitsspeicher ablegt, so dass keine dauerhafte Speicherung erfolgt. Neben der REST-API Schnittstelle stehen auch Software-Agenten zur Verfügung, die eine Anbindung an das Produkt ohne Kenntnis von Skript oder Programmiersprachen ermöglichen.

Um eine automatische Versorgung der Dienste mit Zertifikaten sicherzustellen, nutzt die Lösung interne Public Key Infrastructure (PKI), welche die für die Automatisierung notwendigen REST-API-Schnittstellen bietet. So lassen sich beispielsweise Webserverzertifikate mit sehr kurzen Gültigkeiten realisieren.

In virtualisierten Umgebungen bietet sich die Verwendung der KMIP Schnittstelle an, um darüber das Schlüsselmanagement für NetApp und VMware Systeme zu übernehmen. Auf den Ebenen des Datenspeichers und der Virtualisierung lässt sich so eine konsequente Trennung von verschiedenen Mandaten durch Verschlüsselung erreichen.

Starke Partner

Als langjähriger Partner der öffentlichen Hand unterstützt Computa­center Behörden seit vielen Jahren dabei, neue Anforderungen zu meistern. Der IT-Dienstleister unterstützt sowohl durch Beratung als auch in der Umsetzung dabei, HashiCorp Vault mit Technologien anderer Hersteller zu integrieren und verschiedene Lösungen optimal einzusetzen.

Der Autor: Dirk Zehring, IT Senior Expert, Computacenter

(ID:47151170)