Das Analystenhaus KuppingerCole hat erstmals den Bericht Leadership Compass for Privileged Access Management for DevOps vorgelegt, in dem BeyondTrust die Top-Platzierung als „Product Leader“ erreicht. Der KuppingerCole-Report befasst sich mit den komplexen Herausforderungen in dynamischen DevOps-Umgebungen und thematisiert die neuesten Fortschritte von BeyondTrust in den Kategorien Secrets-Management und Privileged Access Management.

Die von DevOps-Strukturen gekennzeichnete IT-Welt entwickelt sich permanent weiter, um immer neue Verbesserungen erreichen zu können. Bei der Suche nach Innovationen setzen IT-Entwickler auf eine Vernetzung von Code und Applikationen — Microservices, APIs, Desktop- und Mobile-Apps sind für die Software-Entwicklungsprozesse dabei von grundlegender Bedeutung.
Dieser Blogbeitrag greift wichtige DevOps-Herausforderungen auf, die BeyondTrust PAM lösen kann. Außerdem werden zentrale Aussagen des KuppingerCole-Reports herausgestellt. Den Report können Sie hier herunterladen.
Herausforderungen beim DevOps Secrets Management
Für den reibungslosen Betrieb in CI/CD-Umgebungen sind Updates und Patches sowie die Einbindung brandneuer Softwareprojekte dauerhafte Erfordernisse. Im Mittelpunkt dieser Prozesse stehen eine Vielzahl an Anwendungen, Bots, Automatisierungsplattformen, CI/CD-Werkzeugen und maschinellen Abläufen, die im Rahmen der Softwarebereitstellung auf Secrets (privilegierte Zugangsdaten) angewiesen sind.
Als permanente Herausforderung erweist sich dabei, dass Best-Practice-Sicherheitsvorgaben für das Secrets-Management (Einzigartigkeit, Komplexität, Kurzlebigkeit etc.) durchgängig umgesetzt werden müssen, ohne DevOps-Entwicklerteams beim Einsatz verschiedener Tools und Applikationen auszubremsen. Zugangsdaten sollten nicht fest kodiert oder unverändert in Skripten oder Tools hinterlegt sein, wo sie schnell vergessen oder von Bedrohungsakteuren beim Scannen einer IT-Umgebung leicht entdeckt werden könnten.
Falls dieses Problem überhaupt angegangen wird, verlässt man sich zumeist auf native IT-Werkzeuge oder einen Flickenteppich aus Nischenprodukten, die jeweils nur einen Teil der IT-Umgebung adressieren. Die Nutzung unterschiedlicher Punktlösungen, deren Aufgabenbereiche sich überschneiden, führt leider dazu, dass inkonsistente Abläufe, administrative Lücken und potenzielle Schwachstellen entstehen, und folglich der Überblick über verstreute Secrets verloren geht.
Zur Bewältigung dieser Herausforderungen hat BeyondTrust das eigenständige Produkt DevOps Secrets Safe entwickelt, das ein zentralisiertes Secrets-Management (Erstellung, Speicherung, Zugriff und Protokollierung) aller DevOps-Secrets (Passwörter, API-Schlüssel, Zertifikate etc.) in automatisierten CI/CD-Workflows ermöglicht. DevOps Secrets Safe ist speziell auf die hochvolumigen und häufig wechselnden Arbeitsabläufe in DevOps-Umgebungen ausgelegt.
Im Report „PAM for DevOps“ schreibt Paul Fisher, Senior Analyst bei KuppingerCole: „DevOps Secrets Safe geht über die einfache Passwortsicherheit hinaus und speichert Secrets, die von Applikationen, Werkzeugen und anderen maschinellen Identitäten wie Kubernetes-Servicekonten eingesetzt werden. BeyondTrust unterstützt auch die native Integration mit DevOps-Tools wie Jenkin, Puppets und Azure DevOps, während Password Safe einen besseren Schutz gemeinsam genutzter Anmeldedaten für DevOps- und QA-Teams erlaubt und die Produktivität in agilen Umgebungen verbessert. Das sind gute Weiterentwicklungen.“
Mit BeyondTrust DevOps Secrets Safe können Sie…
- Best Practices für das Secrets-Management implementieren: Sichern und automatisieren Sie das Speichern und Abrufen von Secrets, die von Anwendungen, Tools und anderen Prozessen in Ihrer operativen Umgebung verwendet werden.
- Maximale DevOps-Agilität unterstützen: Ein REST API-First-Ansatz und ein CLI-Tool bieten Ihren Teams eine bevorzugte User Experience, die somit eine schnelle Einführung und höhere Produktivität ermöglicht. DevOps Secrets Safe ist eine Standalone-Lösung, die auf einem erweiterbaren, Microservices-basierten Design basiert, Docker-Container verwendet und Kubernetes als Bereitstellungsplattform nutzt.
- DevOps-Tools integrieren: Ermöglichen Sie eine schnellere App-Bereitstellung über reibungslose, native Integrationen mit gängigen DevOps-Tools wie Ansible, Jenkins und Azure DevOps.
- Just-in-Time-Zugriff auf Cloud-Infrastrukturen für automatisierte Workflows implementieren: Sorgen Sie für eine sichere Verwaltung der Cloud-Infrastruktur durch dynamische Kontenerstellung beim API-Zugriff und automatisierten Zugriff von DevOps-Entwicklern.
Zu weit gefasste Zugriffsrechte und Schatten-IT
Durch schnelle Prozesse und Self-Service-Technologien können DevOps-Teams die Hauptverursacher von Schatten-IT sein. Die sogenannte Shadow IT umfasst Tools und Anwendungen, die womöglich nicht gehärtet sind und gefährliche Sicherheitslücken oder Hintertüren aufweisen können. Häufig verfügen diese Tools, Anwendungen sowie Personen, die sie einsetzen, über hohe Zugriffsprivilegien, so dass in der Folge die Angriffsfläche erhöht und neue Attacken durch Lateral Movement ermöglicht werden. Im Ergebnis entsteht eine Sicherheitslage, die eine Ausbreitung von Ransomware oder Malware-Infektionen erleichtert und durch die auch einfache Fehler zu großflächigen Ausfällen oder Sicherheitsproblemen führen können.
Die marktführende BeyondTrust-Lösung Endpoint Privilege Management erlaubt Organisationen die Durchsetzung des Least Privilege-Prinzips im gesamten Unternehmen, inklusive ihrer DevOps-Umgebung, um sich bestmöglich gegen bekannte und unbekannte Bedrohungen (Zero-Day-Lücken) zu schützen. Privilege Management verhindert nicht nur, dass sich die meisten Gefahren im Unternehmensnetz gar nicht erst auswirken können, sondern unterbindet auch Network Lateral Movement, damit Angriffsversuche gestoppt und Schäden minimiert werden.
Mit BeyondTrust Endpoint Privilege Management können Sie…
- Least Privilege-Strategien schnell umsetzen: Einzigartige Quick-Start-Funktionen ermöglichen die unternehmensweite Implementierung von Least Privilege-Strategien innerhalb weniger Stunden oder Tage, gegenüber wochen- oder monatelangen Installationsphasen bei anderen Lösungen.
- Just-in-Time-Zugriff durchsetzen: Durch kontext- und anlassbezogene Ereignisse können Organisationen passende Privilegien zeitgesteuert zuteilen und entziehen. Die Vermeidung dauerhafter Zugangsprivilegien reduziert die Gefahr durch Bedrohungen.
- Visibilität und Kontrolle über CI/CD-Werkzeuge und Schatten-IT erhöhen: Die Kombination von Applikationskontrolle mit Endpoint Privilege Management schafft viele Sicherheitsgewinne. Eine granulare Kontrolle von Anwendungen bietet leistungsstarken Schutz vor Fileless Malware, indem eine kontextbezogene Prüfung bei der App-Ausführung durchgeführt und Child-Prozesse kontrolliert oder unterbunden werden.
- Fehler vermeiden: Blockieren Sie fehlerhafte oder unangemessene Befehle und Skripte zur Vermeidung oder Behebung von Störungen.
Schutz der Remote-Access-Zugangswege in DevOps-Umgebungen
Erweiterte DevOps- und Cloud-Strukturen sowie die große Zunahme von Remote-Mitarbeitern haben dazu geführt, dass der Remote-Zugriff zum wohl gefährlichsten Angriffsvektor geworden ist. Bei privilegierten Zugriffen bieten VPNs und herkömmliche Technologien nicht die erforderlichen Funktionen zur Protokollierung und granularen Zugriffskontrolle, die insbesondere beim Zugriffsschutz für Cloud- und DevOps-Steuerungsebenen oder -Managementkonsolen wichtig sind. Viele Organisationen verlassen sich auch einfach darauf, dass Drittanbieter die erforderlichen Arbeiten ordnungsgemäß ausführen.
Die oben genannten Anwendungsfälle beim Fernzugriff erfordern, dass Unternehmen herkömmliche Sicherheitskontrollen bei privilegierten Zugriffen nicht länger auf den Perimeterschutz begrenzen. Die BeyondTrust-Lösung Secure Remote Access setzt genau hier an — und der KuppingerCole-Report bewertet das als eine der Stärken. Unternehmen können Dienstleister, privilegierte Mitarbeiter und Remote-Access-Aktivitäten auf dem IT-Helpdesk sowohl lokal als auch in der Cloud schützen, verwalten und überwachen — ohne VPN-Einsatz oder andere Tunneling-Technologie. Die Lösung ermöglicht eine sichere Sitzungsverwaltung und gewährt einen variablen Proxyzugriff auf RDP-, SSH- und Windows/Unix/Linux-Hosts.
Darüber hinaus kann Secure Remote Access als Host für Cloud-Zugriffe auf DevOps-Konsolen eingesetzt werden. Die Lösung stellt einen Chromium-basierten Browser als Bastion-Host (Proxy) zur Verfügung, der auf Web-Ressourcen aus der Ferne zugreifen kann. Mit BeyondTrust Secure Remote Access können Sie…
- Least-Privilege-Vorgaben für Remote Access anwenden: Granularer Kontrollzugriff für alle Remote-Sitzungen — unabhängig von Nutzer, Endpoint oder System.
- Segmentierung von Cloud- und DevOps-Umgebungen umsetzen: Proxy Remote Access auf Cloud-Management-Konsolen und IT-Ressourcen — stellen Sie sicher, dass nur autorisierte und bedarfsgesteuerte Zugriffe von verifizierten Identitäten möglich sind. Segmentierung schützt IT-Netzwerke insgesamt vor Angriffen durch Lateral Movement.
- Credential Injection automatisieren: Sicheres Einspeisen von Zugangsdaten beim Sitzungsbeginn — vollständig unsichtbar für den Endbenutzer (Mitarbeiter, Dienstleister usw.).
- Remote-Sitzungen überwachen und verwalten: Bildschirminhalte und Audiodateien aufzeichnen und alle Aktivitäten privilegierter Nutzer (Mitarbeiter, Remote-Nutzer, maschinelle Identitäten) protokollieren. Die Lösung bietet nicht nur einen manipulationssicheren Protokollierungspfad, sondern ermöglicht auch das Anhalten oder Beenden verdächtiger Sitzungen.
Darum ist BeyondTrust ein DevOps Security Leader
BeyondTrust bietet grundlegende Sicherheit für den Einsatz von DevSecOps- und Zero Trust-Umgebungen. Erfahren Sie, wie Sie Ihr DevOps-IT-Sicherheits- und Risikomanagement mit BeyondTrust verbessern können und kontaktieren Sie uns.
