Was ist ein Vault?

Heutzutage besteht die operative Sicherheit aus vielen hochgradig manuellen Aufgaben. So benötigen die meisten Anwendungen Zertifikate, um eine sichere Kommunikation mit Clients zu ermöglichen oder sich sogar gegenüber umliegenden Systemen zu authentifizieren. Solche Zertifikate und die dazugehörigen privaten Schlüssel sind hochsensible Informationen, die in der Regel nur eine begrenzte Gültigkeitsdauer haben. Daher müssen Prozesse vorhanden sein, die die Verwaltung dieser Zertifikate ermöglichen. Die Aufgabe, die Lebensdauer von Zertifikaten zu überwachen, sie vor Ablauf zu ersetzen oder sie im Falle einer Kompromittierung von einem zentralen Trust zu widerrufen, wird in der Regel von Hand erledigt. Dies bedeutet für grosse Unternehmen nicht nur viel Arbeit, sondern jenes ist auch fehleranfällig und kann unsicher sein. Ein weiteres Beispiel wäre die allgemeine Aufgabe der Konfiguration von Anwendungs-Credentials während der Deployment-Prozesse. Dies beinhaltet in der Regel die manuelle Erstellung von Credentials, die dann von einem Systemadministrator im Deployment-Prozess konfiguriert werden. Mit anderen Worten: Es gibt in der Regel eine Person oder eine Gruppe von Personen, die Credentials manuell in Systemen speichern muss und Zugang zu allen Anmeldedaten in den Organisationen hat. Dies ist nicht nur aus Sicherheitsgründen problematisch, sondern auch teuer und fehlerbehaftet.

Vaults, oder manchmal auch "Secret Managers" genannt, sind Softwarekomponenten, die die automatische Verwaltung von Secrets für andere Anwendungen ermöglichen. Es handelt sich dabei um spezialisierte Komponenten, die Funktionen wie die Verwaltung, das Abrufen und Überprüfen von Zugangsdaten auf sichere und skalierbare Weise ermöglichen. Während die Verwaltung von Credentials ihr Hauptanwendungsfall ist, bieten viele Vaults zusätzliche Funktionen wie Zertifikatsverwaltung. Eine solche Funktion bietet in der Regel PKI-ähnliche Funktionen zum Ausstellen und Widerrufen von Zertifikaten und zur Verwaltung von kryptografischem Schlüsselmaterial für Anwendungsfälle wie "Bring your own key" (BYOK)-Integrationen für öffentliche Cloud-Anbieter. Der typische Mehrwert der Verwendung von Vaults liegt in ihrer Fähigkeit, sicherheitsrelevante Prozesse zu verbessern und den Schutz vertraulicher Daten zu erhöhen.

Obwohl Vaults in der Regel benutzerfreundliche Schnittstellen zur Verwaltung ihrer Nutzung bieten, liegt ihr Hauptvorteil in der Automatisierung, die sie durch programmatischen Zugriff ermöglichen. RESTful APIs ermöglichen es anderen Softwarekomponenten, mit dem Vault zu interagieren und so entweder die Verwaltung des Vaults zu automatisieren oder die erforderlichen Anmeldedaten abzurufen, die vom Vault verwaltet werden. Ein Beispiel für einen solchen Fall wäre das automatische Abrufen und Rotieren von Zertifikatsmaterial in hochdynamischen Umgebungen wie Kubernetes.

Hast du auch einen spannenden Use Case? Let's talk!

Jakob Beckmann