Secrets Management aufs nächste Level bringen

Was passieren kann, wenn Secrets Management nicht richtig gemacht wird, veranschaulicht Microsofts Security Breach im Jahr 2023: E-Mails von hochrangigen US-Beamt:innen konnten aufgrund eines gestohlenen Master Signing Keys entwendet werden. 

In diesem Blog schauen wir uns konkrete Herausforderungen einer modernen IT-Infrastruktur an und zeigen auf, wie man diese gezielt mit Secrets Management lösen kann. Dabei orientieren wir uns an einem dreistufigen Maturitätsmodell, damit man schnell erste Erfolge ausweisen kann.

Weshalb wir uns um Secrets kümmern müssen

Sichere Authentisierung für User und Workloads ist eine Grundanforderung jeder Organisation, welche man mit Secrets einfach implementieren kann. 

Ohne ein konsequentes Management dieser Secrets droht jedoch ein unkontrollierter «Secret Sprawl». Das heisst, man hat keine zentrale Übersicht, wo welche Secrets eingesetzt werden und wer dafür verantwortlich ist. 

Ein definierter Lifecycle inkl. regelmässiger Rotation ist in den meisten Fällen nicht vorhanden. Passwortrichtlinien können nicht erzwungen werden und einen Audit Trail, wann, wer, wo ein Secret benutzt, gibt es auch nicht.

In einem solchen Umfeld ist es extrem schwierig, auf einen Sicherheitsvorfall schnell und gezielt zu reagieren. Verdächtige Aktivitäten bleiben unentdeckt, betroffene Secrets lassen sich kaum identifizieren, geschweige denn zeitnah rotieren.

Durch den Einsatz einer Secrets-Management-Lösung erhält man eine zentrale Übersicht über die Nutzung der Secrets und kann Governance-Vorgaben sicherstellen. Ebenfalls lässt sich durch die Automatisierung von Prozessen, wie dem Abfragen und Rotieren der Secrets, Betriebsaufwand und somit Betriebskosten senken. 

Gleichzeitig reduziert man die Wahrscheinlichkeit eines Sicherheitsvorfalls. So leistet Secrets Management einen entscheidenden Beitrag zur Umsetzung einer modernen Sicherheitsarchitektur als Teil einer Zero-Trust-Strategie.

Schrittweise Umsetzung einer Secrets-Management-Lösung

Die Maturität des Secrets Managements einer Firma kann in drei Stufen eingeteilt werden. Anhand dieser kann man Verbesserungen so priorisieren, dass sie schnell Nutzen stiften. Damit wird deine Organisation zeitnah, effizienter und besser vor Angriffen geschützt.

Ad-hoc Secrets Management verursacht Komplexität und Kosten

Oft sind zwar interne Richtlinien für Passwörter und deren Handhabung vorhanden, doch weil diese in Prosa verfasst sind, können sie technisch nicht durchgesetzt werden. Dies hat verschiedene Folgen:

• Die Implementierung der Zugriffskontrolle fällt überall ein bisschen anders aus.
• Passwörter sind uneinheitlich und werden möglicherweise mehrfach genutzt.
• Jedes Team muss sich zudem individuell Gedanken darüber machen, wie es seine Secrets verwaltet und die Rotation sicherstellt, was zu erheblicher Ineffizienz und redundanter Arbeit führt.

Obwohl keine Lizenz- und Infrastrukturkosten anfallen, hat dieser rudimentäre Ansatz einen hohen Preis: Während im Normalbetrieb alles reibungslos verläuft, führt jeder unerwartete Vorfall zu erheblicher Komplexität, hohem Aufwand, potenziellen Ausfällen und damit schwer abschätzbaren Kosten, da die nötige Transparenz und Kontrolle schlicht fehlt.

Höhere Sicherheit und Betriebsstabilität dank eines zentralen Secrets Managements

Bei mittlerer Maturität steht eine Secrets-Management-Plattform im Zentrum, wie z.B. HashiCorp Vault, GCP Secret Manager, Azure Key Vault oder AWS Secrets Manager, die alle Secrets speichert und den Zugriff darauf kontrolliert (siehe Abb. 1). Dabei ist eine leichtgewichtige Integration in die Applikationen und Systeme der Schlüssel zum Erfolg. 

Dedizierte Adapter ermöglichen es, diverse Systeme oder Benutzer zu verifizieren, bevor diese Zugriff auf Secrets erhalten. Mittels Libraries und Connectors kann man automatisiert Secrets bei Backend-Systemen, wie Datenbanken und Active Directory, rotieren. 

Die Plattform fungiert hier als zentraler Vermittler, der die Secrets bereitstellt und deren Lifecycle überwacht. Eine integrierte Audit-Funktionalität gewährleistet zudem die lückenlose Nachvollziehbarkeit aller Zugriffe (Audit Trail). Durch feingranulare Zugriffsrechte lässt sich zudem das Zero-Trust-Prinzip «Least Privilege» einfach umsetzen.

Neben der Einheitlichkeit und erhöhten Sicherheit, Zuverlässigkeit und Transparenz hat ein zentrales Secrets Management noch viele weitere Vorteile:

• Es kommt zu einer erheblichen Entlastung von Entwickler:innen und Administrator:innen, da bisher manuelle Copy-&-Paste-Prozesse grösstenteils entfallen.
• Deployments werden nicht nur beschleunigt, sondern das Risiko von menschlichen Fehlern wird reduziert.
• Die Betriebsstabilität erhöht, indem ablaufende Secrets wie Zertifikate, API-Keys oder Passwörter durch automatisierte Rotation immer rechtzeitig ersetzt werden.
• Im Falle eines Incidents verkürzt sich zudem die Behebungszeit, da kompromittierte Secrets dank sofortiger Zuordenbarkeit rasch und automatisiert rotiert werden können.

Für eine zentrale Secrets-Management-Plattform fallen zwar Kosten für Lizenzen und Infrastruktur an, doch unsere Erfahrung zeigt, dass sich dies rechnet. Die Einsparungen bei den operativen Kosten, insbesondere durch die Automatisierung der Secrets-Rotation, übersteigen die Plattformkosten deutlich.

Zero Trust First: Ersetze Secrets durch Identitäten und Policies

Ein zentrales Secrets Management löst bereits viele Herausforderungen, jedoch können auch gemanagte Secrets gestohlen werden. 

Mit Policies kannst du den nächsten Schritt gehen und damit einen Grossteil der Secrets obsolet machen. Dies reduziert die Angriffsfläche und Komplexität der Verteilung und Speicherung langlebiger Secrets. 

Eine konkrete Umsetzungsvariante ist Workload Identity Federation (WIF). Diese ist bei allen oben genannten Secrets-Management-Plattformen möglich (siehe WIF mit GCP, WIF mit Entra ID (Azure), WIF mit HCV und WIF mit AWS). Mit WIF können Workloads (Kubernetes Container, GitLab Pipelines, etc.) ein kurzlebiges ID-Token ihres lokalen Identity Providers (IDP) beziehen. 

Dieses ID-Token kann der Workload anstelle eines klassischen Secrets für die Authentisierung beim Ziel-IDP verwenden. Dieser überprüft, ob eine Vertrauensbeziehung zum lokalen IDP besteht und eine Policy den Zugriff erlaubt. 

Wenn beide Bedingungen zutreffen, wird ein kurzlebiges Access-Token zurückgegeben, mit welchem der Zugriff auf die Ressource gewährt wird. Eine Übersicht dieses Ablaufs zeigt Abbildung 2.

Mit WIF reduziert sich der Betriebsaufwand weiter und zwar auf das Management dieser Policies, welche ebenfalls teilweise automatisiert werden können. 

Zudem leistet es einen essentiellen Beitrag zu deiner Zero-Trust-Strategy im Bereich «Assume breach». Dieses Prinzip besagt, dass du mit hoher Wahrscheinlichkeit gehackt wirst und du dich deshalb darauf vorbereiten solltest. 

Da mit WIF fast keine langlebigen Secrets mehr existieren, kann ein Angreifer diese nicht mehr stehlen und später verwenden, sondern müsste kontinuierlich eine Verbindung zu deinem Workload aufrechterhalten. Dies ist schwieriger zu bewerkstelligen und fällt auch eher auf.

Take Aways zu Secrets Management

Eine moderne Sicherheitsarchitektur, basierend auf Zero-Trust, erfordert ein robustes Secrets Management. 

Der erste Schritt besteht darin, mit einer zentralen Secrets-Management-Plattform Ordnung zu schaffen: Verstreute Passwörter, API-Keys und Zertifikate werden konsolidiert, eindeutig zugewiesen und ihr Lebenszyklus konsequent automatisiert. 

Im nächsten Schritt können diese Secrets durch kurzlebige, policy-gesteuerte Tokens ersetzt werden. Diese sind nur wenige Minuten gültig und verringern dadurch die Angriffsfläche und Komplexität weiter.

Investiere in Secrets Management und gewinne dreifach: deutlich höhere Sicherheit, stark reduzierte Betriebskomplexität und glückliche Teams, die sich wieder voll auf Innovation fokussieren können. 

Wir unterstützen dich gerne bei der Konzeption, Implementierung oder Review deines Secrets Managements, egal auf welcher Maturitätsstufe und Plattform (Cloud, Hybrid, On-Prem) du dich gerade befindest.