Das Department for Work and Pensions (DWP) ist das größte Ministerium in Großbritannien. Der Aufgabenbereich des DWP umfasst unter anderem die Sozialleistungen sowie die Rentenkasse.

Basierend auf der “Digital by default” Strategie verfolgt das DWP das Ziel, seinen mehr als 20 Millionen Kunden schnellere, einfachere und kundenorientierte Services anzubieten. Ein wichtiger Baustein in dieser Strategie ist das Projekt Universal Credit, mit dem 6 bisher getrennte Sozialleistungen in einer einzigen monatlichen Zahlung zusammengefasst werden. Im April 2020 haben mehr als 4 Millionen Kunden des DWP Universal Credit Leistungen in Anspruch genommen.

Die für das Projekt zuständigen DWP IT-Teams standen vor der Herausforderung, dass viele ihrer Prozesse sehr aufwändig und manuell waren. Hierzu zählte auch die Verwaltung der sogenannten Secrets (Passwörter, Zertifikate etc.). Auch der regelmäßig notwendige Austausch der Zertifikate lief komplett manuell und war dementsprechend zeitintensiv und fehleranfällig. Vor dem Hintergrund, dass in der Universal Credit Anwendung viele personenbezogene Daten verarbeitet werden, war die Tatsache, dass alle Entwickler über eine persönliche Kopie sämtlicher Secrets verfügt haben, natürlich nicht akzeptabel.

Das DWP hatte sich im Rahmen des Universal Credit Projekts das Ziel gesetzt das Secret Management mit einer modernen und vor allem sicheren Lösung zu optimieren. Secure by design war die Vorgabe, die es umzusetzen galt. Es war klar, dass eine einheitliche, zentrale Lösung realisiert werden sollte, wobei gleichzeitig die Teams mehr Freiheiten bekommen sollten. Somit musste die neue Lösung mehrmandantenfähig sein, über eine mehrschichtige Zugriffskontrolle verfügen und zugleich sollten die User mittels “Leitplanken” dabei unterstützt werden, die obligatorischen Sicherheitsrichtlinien von DWP einzuhalten. Um sich für die Zukunft alle Optionen offen zu halten, sollte die neue Secrets Management Lösung sowohl im DWP-eigenen Rechenzentrum als auch in allen Public Clouds nutzbar sein.

Alle vorgenannten Anforderungen konnte das DWP mit Hilfe von HashiCorp Vault umsetzen. Unter dem Schutz einer sehr strengen Zugriffskontrolle sind die einzelnen Teams von DWP nun in der Lage “ihre” Secrets eigenständig zu verwalten, ohne dass ein zentrales Team einen Flaschenhals darstellen würde. Es gibt Dank Vault für das Management keinerlei Downtimes mehr, und auch die Möglichkeit zur Anbindung von HSMs (Hardware Security Modulen) wird von DWP als großer Vorteil betrachtet, um das Secret Management weiter zu verbessern.

Das DWP hat den Einsatz von HashiCorp Vault im Rahmen der HashiConf EU Konferenz im Mai 2020 vorgestellt. Eine Aufzeichnung des Vortrags ist hier verfügbar.