Simon Kölsch innoQ

Vault erfüllt die gängigen Anforderungen an den Umgang mit Passwörtern, Tokens, Zertifikaten und Zugriffen.

Eigentlich ist man sich einig, dass durch immer größere und komplexere Netze und Systemlandschaften das Thema Sicherheit nicht einfach durch die eine große Perimeterfirewall erledigt ist. Trotzdem fehlt es häufig an Infrastruktur, die dabei unterstützt, mit Zugangsdaten automatisiert und sicher umzugehen. Vault hilft als „a tool for managing secrets“, dieses Problem anzugehen.

Der sichere Umgang mit Zugangsdaten ist kompliziert und mit Aufwand verbunden. Idealerweise verwendet man niemals das gleiche Passwort zweimal, benutzt mehr als die gängigen acht Zeichen und beschränkt sich nicht nur auf Kleinbuchstaben. Ein gutes Passwort ist lang und unbequem. Post-its auf dem Monitor sollten eigentlich der Vergangenheit angehören. Zum einen passen die Zugangsdaten nicht mehr auf den Notizzettel, zum anderen wird niemand diese mehrere Minuten abtippen wollen, um dann festzustellen, dass er die Zahl „1“ und den Buchstaben „l“ vertauscht hat. Der nächste Schritt ist das regelmäßige Ändern aller benutzten Passwörter. Spätestens jetzt wird es Zeit, einen Passwortmanager zu nutzen. Der Anwender hat die Wahl aus einem breiten Angebot, egal ob proprietär, Open Source, Browser-Plug-in, Cloud-Lösung oder integriert im eigenen Betriebssystem – Passwortmanager sind inzwischen halbwegs etabliert und nicht zwangsläufig exotische Werkzeuge von Computerprofis.

Anders sieht es leider bei Anwendungen und den dazu gehörigen technischen Usern oder Functional Accounts aus. Eine Anwendung oder ein Service kommt selten ohne Zugangsdaten aus. Datenbanken, andere Services, das firmeninterne LDAP: Es gibt eigentlich immer mindestens einen Account, der benutzt wird und dessen Passwort entweder in Konfigurationsdateien oder Umgebungsvariablen beim Service hinterlegt ist. In der Theorie sind diese Daten immer verschlüsselt, werden häufig geändert, und es ist nachvollziehbar, wer darauf Zugriff hatte. In der Praxis findet man im besten Fall gut gemachte Eigenlösungen, die zwar irgendwie die Zugangsdaten schützen, aber oft nicht komfortabel zu benutzen sind und ein Audit nicht einfach machen. Die aktuellen Architekturtrends hin zu verteilten Systemen aus vielen kleinen wiederverwendbaren Services verschärfen dieses Problem noch. In Systemlandschaften mit mehreren Microservices möchte man in der Regel auch deren Zugänge automatisiert verwalten.

Vault bietet eine Art Schlüsselkasten für Zugangsdaten. Diese werden sicher in einem konfigurierbaren Storage-Backend abgelegt. Zugriffe auf diese Daten werden protokolliert. Je nach der Art des Zugangs können außerdem die Passwörter nach festen Zyklen geändert werden, z. B. jedes Mal nachdem eine Session beendet wurde. Ist ein System kompromittiert, lassen sich gezielt die von der Applikation angeforderten Passwörter tauschen.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Entwickler Magazin Spezial Vol.16: Security - "Security"

Alle Infos zum Heft
579842032Microservices mit Vault absichern
X
- Gib Deinen Standort ein -
- or -