Mobile logo

Öffentlicher Sektor: HashiCorp Vault vereinfacht sichere Entwicklung

Behörden durchlaufen eine Phase der Digitalisierung und begegnen dort verschiedenen Herausforderungen. Insbesondere sind Fragen der Sicherheit im öffentlichen Sektor von grosser Bedeutung. Mit der Integration von HashiCorp Vault in die Entwicklungsplattform konnte hier eine passende Lösung gefunden werden.

Zwei Personen die an einem Tisch an Computer arbeiten.

Digitalisierung im öffentlichen Sektor schreitet voran

Unser Kunde ist im öffentlichen Sektor tätig. Wie in der Privatwirtschaft durchlaufen auch die Behörden eine starke Phase der Digitalisierung

Für unseren Kunden bedeutet das, dass viele Softwareanwendungen in relativ kurzer Zeit entwickelt und eingesetzt werden müssen. Dieser Zeitdruck kann eine ganze Reihe von Herausforderungen mit sich bringen, eine davon ist die Sicherheit dieser neuen Anwendungen. 

Es braucht eine Lösung, wie man das Entwicklungstempo erhöhen kann, ohne bei der Sicherheit Kompromisse zu machen, sonst werden Behörden technologisch zurückfallen und nicht in der Lage sein, ihren Bürgern optimal zu dienen. Zudem ist der öffentliche Sektor oft Ziel stark fortgeschrittener Angriffe, weshalb an die Sicherheitsvorkehrungen häufig höhere Ansprüche gestellt werden als in der Privatwirtschaft.

Schnellere Entwicklung und mehr Sicherheit. Ist das möglich?

Alles in der Software ist ein Kompromiss. Man kann eine Verbesserung in einem Bereich nicht erreichen, ohne an anderer Stelle Abstriche zu machen. Typische Beispiele hierfür sind die Feature-completeness und die Komplexität, die Sicherheit und die Entwicklungsgeschwindigkeit. 

Manchmal lässt sich dieser Kompromiss jedoch verschieben, so dass man beispielsweise auf Kosten der Komplexität sowohl eine bessere Sicherheit als auch eine höhere Entwicklungsgeschwindigkeit erreichen kann. Wenn diese Komplexität dann gut gemanagt wird, kann dies ein grosser Vorteil für ein Unternehmen sein. 

Genau das war in diesem Projekt mit unserem Kunden unser Ziel. Wir mussten es den Entwicklungsteams irgendwie ermöglichen, ihre Produktivität zu steigern und die Sicherheit der erstellten Software zu erhöhen, um den hohen Ansprüchen der Sicherheitsvorkehrungen gerecht zu werden

Während sich die Produktivität der Entwickler von Enterprise Software mit einer starken, zentralisierten Plattformunterstützung steigern lässt, kann die Verbesserung der Sicherheit ziemlich schwierig sein. Entwickler wissen oft recht gut, was viel Zeit beansprucht und leicht automatisiert werden kann. Über Sicherheit haben sie jedoch in der Regel wenig Wissen. 

Gleichzeitig wissen die zentralisierten Sicherheitsteams nur wenig über die Anwendungen, die von den Entwicklern gebaut werden. Ausserdem ist Sicherheit ein sehr breites Thema. Daher ist es sinnvoll, zunächst herauszufinden, welche Prioritäten zu setzen sind.

Laut Verizon DBIR 1 aus dem Jahr 2023 werden bei fast der Hälfte der Datenschutzverletzungen durch Hacker gestohlene Zugangsdaten als erste Zugriffsmethode verwendet. 

Daher ist es sinnvoll, sich zunächst damit zu befassen, wie Entwicklerteams Anmeldedaten verwalten. Dies ist tendenziell ein Bereich mit viel Potenzial, da die meisten Teams Schwierigkeiten haben, die von ihnen verwendeten Anmeldeinformationen angemessen zu sichern, oder sogar den Überblick darüber verlieren, welche Anmeldeinformationen auf den von ihnen benötigten Systemen verwendet werden. 

Dieses Phänomen wird als «secret sprawl» bezeichnet und ist der Hauptgrund dafür, dass sich böswillige Akteure Zugang zu Computersystemen verschaffen und sich dann problemlos durch ganze Firmennetzwerke bewegen können.

Das Ziel bei unserem Kunden war es daher, die Produktivität der Entwickler zu verbessern und gleichzeitig die Ausbreitung von Anmeldedaten zu reduzieren. Ist das möglich?

Wir setzen Vault erfolgreich ein für die Verwaltung der Secrets für über 100 Micro Services und alle dazugehörigen Build Pipelines.
Anonym Kunde

HashiCorp Vault as a Service bietet Entwicklern Flexibilität

Wir haben daher ein Angebot für HashiCorp Vault auf den Entwicklungsplattformen gebaut. 

HashiCorp Vault ist eine Softwarekomponente, die für die Verwaltung von Anmeldeinformationen verwendet wird. Sie ermöglicht es Teams, sensibles Material sicher zu speichern und an ihre Anwendungskomponenten zu verteilen. 

Darüber hinaus ermöglicht Vault die dynamische Generierung eindeutiger Berechtigungsnachweise für eine Vielzahl von Systemen, so dass Maschinen nur bei Bedarf kurzlebige Berechtigungsnachweise verwenden können (=Privileged Identity Management (PIM)), wodurch Zero-Trust Prinzipien umgesetzt werden können.

Durch die Integration von HashiCorp Vault in die zentrale Entwicklungsplattform konnte erreicht werden, dass die Entwicklungsteams die Anmeldedaten, die von den Applikationen für Umsysteme gebraucht werden, gar nicht erst zu Gesicht bekommen. 

Somit ist das Problem des unsicheren Handhabens von diesen sensiblen Daten durch die Entwicklungsteams gelöst. Zudem reduziert es auch den Aufwand auf der Entwicklerseite bei der Bereitstellung der Fachanwendungen.

Funktionsweise von HashiCorp Vault auf Plattformen für Flexibilität und Sicherheit.

Diese Integration von Vault in die Entwicklungsplattformen ist für die Entwicklungsteams unsichtbar

Dies ist aufgrund der erhöhten Komplexität, die eine solche Architektur mit sich bringt, notwendig. Wenn diese Komplexität den Entwicklern offengelegt würde, würden wir das Entwicklungstempo wieder verringern. 

Indem wir diese Komplexität in einem zentralisierten Team kapseln, können wir diese richtig verwalten und behindern die Entwickler nicht.

Um den Entwicklern die Möglichkeit zu geben, auch ihre eigenen Anmeldeinformationen ordnungsgemäss zu verwalten, wurde ergänzend zur Integration in die Plattform ein «as a Service» Angebot bereitgestellt. 

Durch die Aufnahme von HashiCorp Vault Instanzen in das Serviceangebot können Entwicklerteams innerhalb von Sekunden hochverfügbare, verwaltete Vault-Cluster bestellen. Die Teams können ihren Vault nach ihren Wünschen konfigurieren und behalten dabei die volle Kontrolle über ihre Anmeldedaten. 

Support für erweiterte Integration und Konfiguration wird ebenfalls vom zentralen Vault-Team angeboten, das als Kompetenzzentrum für Vault fungiert.

Das «Vault as a Service»-Angebot ist seit 2021 in Betrieb und hat ein enormes Wachstum erfahren. Derzeit sind etwa 75 Vaults im Dauerbetrieb, die von hunderten Teams genutzt werden und tausende Anmeldeinformationen verwalten. 

Die Bezieher des Angebotes sind sehr zufrieden, wie uns ein Kunde erläutert: «Auf unserem Projekt können wir auf einen zuverlässigen und sicheren Secret Storage auf Vault zählen, den uns das Plattform-Team zur Verfügung stellt. Bei uns gilt Vault als Beispiel für einen besonders stabilen Service, der auf der on-premise Cloud läuft.» 

Durch den Mehrwert dieses Angebotes und der dringenden Notwendigkeit eines solchen Service gehen wir davon aus, dass sich diese Zahl innerhalb des nächsten Jahres verdoppeln bzw. verdreifachen wird.

Tech-Box

Folgendes wurde aus technologischer Sicht gefordert

  • Integration in den bestehenden Dienstleistungskatalog.
  • Standardisierter Service, der kostengünstig zu warten ist.
  • Einfacher Lifecycle, um Sicherheitspatches schnell an die Anwendungsteams weiterzugeben.
  • Hohe Verfügbarkeit.
  • Vollständig customisierbare Backup-Strategien.

 

Folgende Technologien kamen zum Einsatz 

  • HashiCorp Vault.
  • Helm für Package Management.
  • ArgoCD als Werkzeug für die continuous deployment.
  • Golang für Orchestrierungskomponenten.
  • OSBAPI als Schnittstellenspezifikation.
  • Kubernetes als Hosting-Plattform.

Hast du auch einen spannenden Use Case? Let's talk!

Jakob Beckmann Casual

Jakob Beckmann

Principal Architect

Director

Beiträge laden...