Management Summary

Laut einer Studie des Branchenverbands Bitkom waren 7 von 10 Industrieunternehmen in Deutschland in den Jahren 2016 und 2017 Opfer von kriminellen Attacken, wobei ein Gesamtschaden von 43,5 Milliarden Euro durch Sabotage, Datendiebstahl oder Spionage entstand. Fast noch kritischer ist allerdings, dass weitere 19% der Unternehmen eine Attacke auf die eigene Infrastruktur vermuten - aber nicht nachweisen können. Diese quantifizierbaren Schäden belegen die Defizite der traditionellen Sicherheitsprozesse in der IT. Unabhängig hiervon sorgt die fortschreitende Digitalisierung für ein exponentielles Wachstums bei sensitiven Informationen (sogenannte Secrets) und vergrößert die Probleme somit jeden Tag.

Für die Analysten von Gartner, wie auch für immer mehr Behörden und Unternehmen, ist HashiCorp Vault die Lösung, um jede Art von Secrets sicher und automatisiert zu managen und um gleichzeitig die Auditierbarkeit in Bezug auf die Nutzung von Secrets zu optimieren.

Einleitung

Das traditionelle Sicherheitsdenken basiert darauf, die eigene IT-Landschaft durch VPNs und sogenannte Perimeter-Firewalls gegen Angriffe von außen abzusichern. Innerhalb der eigenen IT-Umgebung werden natürlich auch bereits Passwörter verwendet, wobei diese nur allzu oft selten geändert werden. Und selbst heute gibt in vielen Organisationen noch eine Vielzahl von Zugangsdaten, die von mehreren Administratoren gemeinsam verwendet werden.

Gleichzeitig wurden in den letzten Jahren die IT-Landschaften in unseren Behörden immer komplexer, so dass die bisherigen Sicherheitsvorkehrungen aus mehreren Gründen nicht mehr ausreichen:

1. Es gibt ein exponentielles Wachstum bei den sensitiven Informationen (sogenannte Secrets) in Form von Zugangsdaten, Zertifikaten und geheimen Schlüsseln, die sicher gespeichert und verwaltet werden müssen.
   

2. Auch der Öffentliche Bereich soll im Rahmen der Digitalisierung von den Vorteilen, welche Automatisierung und Self-Service in der IT bieten, profitieren können.

Dieses Spannungsfeld sorgt in der Praxis für eine stetig wachsende Angriffsfläche für Cyberattacken. Laut einer Studie des Branchenverbands Bitkom waren 7 von 10 Industrieunternehmen in Deutschland in den Jahren 2016 und 2017 Opfer von kriminellen Attacken, wobei ein Gesamtschaden von 43,5 Milliarden Euro durch Sabotage, Datendiebstahl oder Spionage entstand. Fast noch kritischer ist allerdings, dass weitere 19% der Unternehmen eine Attacke auf die eigene Infrastruktur vermuten - aber nicht nachweisen können.

Um Cyberattacken so weit wie möglich auszuschließen, ist es unerlässlich, dass alle Anwendungen explizit authentifiziert sein müssen, d.h. der Abruf von vertraulichen Informationen und die Durchführung sensibler Operationen sowohl autorisiert als auch streng überwacht werden muss. Um dies zu erreichen müssen Secrets (z.B. Passwörter, Zertifikate, , Schlüsselmaterial, Tokens und sonstige geheime Inhalte) sicher gespeichert und verwaltet werden. Ebenfalls notwendig ist die 100%ige Auditierbarkeit aller Zugriffe auf die IT-Systeme, was im Umkehrschluss bedeutet, dass gemeinsame verwendete Passwörter und Accounts (Technische User) konsequent verhindert werden müssen. Und um das Zeitfenster für einen möglichen Angriff zu minimieren, müssen Passwörter und Zertifikate ständig geändert werden.

Hierfür empfehlen die Analysten von Gartner als Lösung HashiCorp Vault. Diese bietet eine starke Datenverschlüsselung, identitätsbasierten Zugriff unter Verwendung von benutzerdefinierten Richtlinien, automatisierte Erstellung von dynamischen Secrets und auch ein ausführliches Auditprotokoll, das fortlaufend aufgezeichnet wird. Vault bietet zudem eine HTTP-API und ist damit die erste Wahl für die Speicherung von Anmeldeinformationen in verteilten, serviceorientierten Systemen wie Kubernetes.

Wie HashiCorp Vault funktioniert

Vault kontrolliert den Zugriff auf sämtliche Secrets, indem er sich gegen vertrauenswürdige Identitätsquellen wie Active Directory, LDAP, Kubernetes, CloudFoundry und Cloud-Plattformen authentifiziert. Vault ermöglicht eine fein-granulare Autorisierung, welche Benutzer und Anwendungen Zugriff auf Secrets und Schlüsselmaterial erhalten.

Secrets Management

Mit HashiCorp Vault können Teams ihre Tokens, Passwörter, Zertifikate und Verschlüsselungen

zum Schutz von Maschinen und Anwendungen sicher speichern und den Zugriff darauf streng

kontrollieren. Im Ergebnis ist das ein voll ausgebautes Secrets-Management-System. Darüber hinaus schützt Vault sowohl Data-at-Rest als auch Data-in-Transit.

Vault stellt eine High-Level-Kryptografie-API zur Verfügung, damit Entwickler ohne Offenlegung der Schlüssel sensible Daten sichern können. Vault kann auch als Zertifizierungsstelle fungieren und dynamische, temporäre Zertifikate zur Sicherung der Kommunikation per SSL/TLS bereitstellen. Des Weiteren ermöglicht Vault den Identitätsabgleich zwischen unterschiedlichen Plattformen, etwa zwischen dem lokalen Active Directory und Cloud-basierten IAM-Systemen,

sodass Anwendungen auch plattformübergreifend funktionieren.

Vault verwendet Richtlinien, um festzulegen, wie Anwendungen sich authentifizieren, auf welche Secrets sie autorisiert sind und wie die Zugriffe zu auditieren sind. Vault arbeitet mit einer Reihe Trusted-Identity-Anbieter zusammen, darunter Cloud-IAM-Plattformen (Identity and Access Management), Kubernetes, Active Directories und andere SAML-basierte Authentifizierungssysteme. Vault übernimmt dann die zentrale Verwaltung und Kontrolle des

Zugriffs auf Geheimnisse und Systeme auf der Basis vertrauenswürdiger Anwendungen und

Nutzeridentitäten.

Encryption as a Service

Daneben spielt auch die Verschlüsselung von Daten in Behörden ein immer wichtigere Rolle. Jedoch werden den Entwicklern häufig keine Methoden zur Verschlüsselung vorgegeben, so dass die Entwickler eigene Lösungen konzipieren – oft ohne tiefere Kryptografiekenntnisse. Vault bietet dagegen eine einfache, anwenderfreundliche API und gibt zentralen Sicherheitsteams zugleich die Möglichkeit nötige Richtlinien vorzugeben und Lifecycle-Management-APIs an die Hand. So können beliebige Daten über die API an Vault übergeben werden. Dort werden sie verschlüsselt und anschließend über die API wieder an die Applikation zur weiteren Verarbeitung oder Speicherung zurückgegeben.

HashiCorp Vault ist weltweit bei einer Vielzahl von Behörden im Einsatz, beispielsweise bei DWP (Department for Work and Pensions, größte Behörde in Großbritannien), einer europäischen Steuerbehörde, sowie einem IT-Dienstleister im Öffentlichen Bereich in Deutschland.

Weitere Informationen

• 2-Minuten-Video: Anwendungsfälle für HashiCorp Vault im Öffentlichen Bereich: https://youtu.be/TjaQ0u8Uy38
  

• Die Funktionen von HashiCorp Vault auf einen Blick: https://www.hashicorp.com/products/vault/pricing

• Whitepaper zur Verschlüsselung von VMware und NetApp: https://www.hashicorp.com/blog/securing-vmware-and-netapp-data-with-hashicorp-vault
  

• Whitepaper: Multi-Cloud Security mit HashiCorp Vault: https://www.hashicorp.com/resources/unlocking-the-cloud-operating-model-security
  

• HashiCorp Vault Anwendungsfälle selbst ausprobieren:

  • https://learn.hashicorp.com/vault

  • https://play.instruqt.com/hashicorp
    

• HashiCorp Vault Adoption Guide: https://www.hashicorp.com/resources/adopting-hashicorp-vault