Moderne Geschäftsabläufe sind durch einen vermehrten Einsatz von Cloud-Lösungen und Digitalprozessen gekennzeichnet, die eine explosionsartige Zunahme privilegierter Zugangsdaten und Secrets in Applikationen, automatisierten Workflows und maschinellen Prozessen nach sich ziehen. Ein einheitlicher Ansatz beim Secrets-Management ist eine notwendige Voraussetzung zur Erreichung der gewünschten Agilitäts- und Innovationsziele, damit die digitale Transformation nicht zulasten der IT-Sicherheitslage geht. An dieser Stelle hilft die Sicherheitslösung BeyondTrust DevOps Secrets Safe weiter, indem sie speziell hochvolumige und hochagile Workload-Anforderungen in DevOps-Entwicklungsumgebungen bedient.
In diesem Blogbeitrag finden Sie die wichtigsten Neuerungen, Features und Erweiterungen von BeyondTrust DevOps Secrets Safe 21.1.
Erweiterte, dynamische Konten
DevOps Secrets Safe kann API-Konten für automatisierte Prozesse beim Zugriff auf verschiedene Cloud-Umgebungen dynamisch generieren. Dieser Workflow läuft über einen „Provider Account“, der für das Erstellen und Löschen der jeweiligen Servicekonten über DevOps Secrets Safe zuständig ist. Zugriffsrechte lassen sich bedarfsgerecht zuteilen und auch Anmeldedaten, die möglicherweise nicht mehr eingesetzt werden, können erfasst werden. Auf diese Weise wird das Lifecycle-Management dynamisch erstellter Accounts automatisiert, um unnötige Risiken nicht mehr benötigter Servicekonten aus Workflow-Prozessen zu vermeiden und zeitaufwendige Aufräumarbeiten einzusparen.
Dieses automatisierte Account Lifecycle Management im neuen Release erweitert dynamische Konten und stärkt die Sicherheitsposition einer Organisation. Durch DevOps Secrets Safe generierte Servicekonten können mit einem festgelegten Zeitfenster (Time to Live) versehen werden, um ihren Einsatz im Rahmen von unternehmensweiten Just-in-Time-Zugriffskonzepten (JIT) zu steuern. Nach Ablauf des eingestellten Zeitfensters werden die betreffenden Konten automatisch aus Cloud-Umgebungen entfernt und potentielle Angriffsvektoren dadurch entscheidend reduziert. Durch Rotation der API-Keys lassen sich die Anbieterkonten mit minimalen Nutzerprivilegien länger betreiben und kontinuierlich selbst verwalten.
Dynamische Accounts mit Ansible
Das Open-Source-Werkzeug Ansible wird häufig zur Einrichtung von IT-Infrastrukturen in der Cloud eingesetzt. Für diese Aufgabe benötigen Ansible-Workflows automatisierte Zugriffsrechte auf Cloud-APIs und API-Keys der Servicekonten. Das geht nur mit entsprechend hohen Zugriffsprivilegien für API-Schlüssel, die entsprechend gesichert werden müssen. Es empfiehlt sich daher, diese Prozesse im Rahmen einer Least-Privilege-Strategie durchzuführen, um IT-Sicherheitsgefahren zu vermeiden. Darüber hinaus lassen sich durch Entfernen festkodierter API-Keys aus Quell- und Konfigurationsdateien potentiell gefährliche Kompromittierungen von Nutzerkonten begrenzen.
Im aktuellen Release können Kunden ihre Ansible-Playbooks bei der Interaktion mit Cloud-APIs durch Einsatz dynamischer Konten unterstützen, die DevOps Secrets Safe generiert. Diese Integration schützt automatisierte Workloads bei der Just-in-Time-Bereitstellung von Anmeldedaten, die mit den erforderlichen Zugriffsrechten zur Verfügung gestellt werden und festkodierte oder eingebettete Cloud-API-Keys vermeiden. Dieser Ansatz setzt Best-Practice-Vorgaben für Least-Privilege- und JIT-Strategien im Sinne einer höheren Sicherheit von Ansible-Playbooks um.
Neue RPA-Tool-Integration: Blue Prism
Zur Automatisierung von Geschäftsprozessen setzen Organisationen zunehmend auf digitale Software-Roboter (RPA, Robotic Process Automation). Diese IT-Werkzeuge benötigen häufig Anmeldedaten oder API-Keys für die Authentifikation und Einwahl auf sicherheitsrelevanten IT-Systemen. Das neue Release ist deshalb mit der Automatisierungsplattform von Blue Prism integrierbar. Auf diese Weise können Kunden den DevOps Secrets Safe zur sicheren Hinterlegung, Kontrolle und Überwachung von Secrets in RPA-Workflows einsetzen.
Über DevOps Secrets Safe
BeyondTrust DevOps Secrets Safe hilft IT-Sicherheitsverantwortlichen und DevOps-Entwicklern bei der Erreichung geforderter Skalierbarkeitsziele in hochelastischen Entwicklungsumgebungen. Durch eine hochverfügbare und auf Microservices basierende Architektur vermeidet die Enterprise-Lösung das Risiko von Totalausfällen oder Fehlfunktionen. Der API-First-Ansatz ermöglicht eine Anpassung an die Agilitätsansprüche moderner Entwicklerteams, vermeidet Reibungsverluste und erhöht die Mitarbeiterakzeptanz.
DevOps Secrets Safe weist digitale Identitäten den jeweiligen Anwendungen, Containern, Diensten oder (virtuellen) Maschinen aufgabenbezogen zu. Wie bei menschlichen Nutzern auch lassen sich diese maschinellen Identitäten im Sinne einer granularen Zugriffssteuerung und erhöhten Sicherheit identifizieren, autorisieren und verwalten. BeyondTrust DevOps Secrets Safe erlaubt zudem eine vollständige Protokollierung aller Aktivitäten beim Einsatz von Secrets und vereinfacht so die Einhaltung gesetzlicher IT-Compliance-Anforderungen.
Die erweiterten IT-Verwaltungsfunktionen von BeyondTrust DevOps Secrets Safe beschleunigen digitale Transformationsprojekte im Unternehmen. Diese Vorteile stellt auch der KuppingerCole PAM for DevOps Report (Februar 2021) heraus, in dem BeyondTrust die Spitzenposition in den Kategorien Sicherheit, Funktionalität, Bedienbarkeit und IT-Bereitstellung erreichte.
Weitere Informationen über BeyondTrust DevOps Secrets Safe und das aktuelle Release sind hier abrufbar:
DevOps Secrets Safe 21.1 Dokumentation
Release Notes für DevOps Secrets Safe 21.1
DevOps Secrets Safe Datenblatt

Alex Leemon, Product Marketing Manager
Alex Leemon is a Product Marketing Manager at Beyondrust, focusing on Privileged Password & Session Management and Vulnerability Management solutions. She has over fifteen years of experience working with enterprise-level and Critical Infrastructure organizations solving safety and security challenges. Before joining BeyondTrust, Alex served in various roles related to the development of industrial control products and the Industrial Internet of Things (IIoT).