Wo dasjenige Trägermodell zusammenbricht

Heutzutage wird die meiste API-Kommunikation zwischen Maschinen durch API-Geheimnisse gesichert – statische Schlüssel, Token oder PKI-Zertifikate, die wie Systemkennwörter fungieren, um Maschinen zu authentifizieren und die Kommunikation zwischen ihnen zu vermitteln. C/o diesen Maschinen kann es sich um Cloud-Workloads, Pods, Container, Server, virtuelle Maschinen, Microservices oder physische Maschinen wie Server oder IoT-Geräte handeln.

Die Herausforderung nebst aktuellen Mechanismen zum Sichern welcher Authentifizierung zwischen Maschinen besteht darin, dass sie allesamt ein Trägermodell welcher Authentifizierung vorschreiben. Solange ein API-Schlüssel, -Token oder -Zertifikat komplett ist, kann es von überall aus verwendet werden, sogar von einer schändlichen Maschine. Dasjenige Schema garantiert keinen vertrauenswürdigen Zugriff oder Vertrauen in den API-Client. Ein weiteres Risiko besteht darin, dass selbige API-Geheimnisse oft langlebig und umständlich sind, die Hygiene aufrechtzuerhalten.

Perfekte Sicherheitshygiene würde bedeuten, dass jedes API-Rätsel unmissverständlich nur einer Maschine zugewiesen, niemals geteilt und routinemäßig rotiert wird. und sicher oben Entwicklungs- und Bereitstellungssysteme an die Maschine verteilt werden, die sie gesucht, ohne dass dasjenige Risiko besteht, dass sie unterwegs sickern. Die Wirklichkeit ist, dass API-Geheimnisse oft von Dutzenden oder Hunderten von Maschinen und Workloads verbinden genutzt werden. Sie werden selten, wenn gar, rotiert, und die Zurverfügungstellung und Verwaltung von Geheimnissen oben verschiedene Anwendungen und Umgebungen hinweg ist eine mühsame Gelübde.

Welcher Preis welcher Geheimnisse

Laut einem Mitteilung von 1Password aus dem Jahr 2021 verleben IT und DevOps täglich durchwachsen oben 25 Minuten mit welcher Verwaltung von Geheimnissen, welches zu geschätzten Lohnkosten von 8,5 Milliarden US-Dollar pro Jahr in Unternehmen in den USA führt. In einer Welt, in welcher Entwicklungs- und Bereitstellungssysteme vollwertig automatisiert sind, ist die Zurverfügungstellung und Rotation von Geheimnissen weiterhin ein sehr manueller, mühsamer Prozess.

Durchgesickerte Infrastrukturgeheimnisse sind mit messbaren Wert verbunden. Offengelegte Codes, Zugangsdaten und Schlüssel – ob versehentlich oder extra – kosten Unternehmen laut dem 1Password-Mitteilung durchwachsen 1,2 Mio. US-Dollar an Einnahmen pro Jahr.

In jüngerer Zeit hat die statische Natur von API-Geheimnissen sie zu reifen Zielen zu Gunsten von Angreifer gemacht. Homolog wie Passwörter tendieren Geheimnisse dazu, mit zunehmendem am Lebensabend anfälliger zu werden – ein Problem, dasjenige nur noch verstärkt wird, wenn selbige Geheimnisse von Dutzenden, manchmal Hunderten von verschiedenen Workloads geteilt werden. Heute werden Geheimnisse in alarmierender Leistungsfähigkeit in Identifikator-Repositories, CI-Systemen (Continuous Integration) wie Jenkins oder Travis, Orchestrierungstools wie Kubernetes und Cloud-Hosting-Umgebungen wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und mehr verloren Microsoft Azure. Dasjenige Gleiche gilt zu Gunsten von Protokollierungstools wie Splunk und Elastic und sogar zu Gunsten von Kollaborationsumgebungen wie Slack. Laut einer aktuellen Begehung von GitGuardian nach sich ziehen Organisationen im Jahr 2021 mehr denn 6 Mio. Passwörter, API-Schlüssel und andere sensible Datenmaterial verloren und damit die Zahl im Unterschied zu dem Vorjahr verdoppelt.

Werkzeuge, um Pipapo zu verbessern

Unternehmen können zusätzliche Schritte unternehmen, um ihre Geheimnisse sicherer zu halten. Secrets-Management-Lösungen wie Tresore oder Secrets-Manager helfen hier, selbige Systemkennwörter zu zusammenbringen und besser zu sichern. Im Kontrast dazu wenn Ihr Unternehmen Workloads mit allen drei Cloud-Anbietern betreibt, muss Ihr Team drei proprietäre Geheimnisse-Verwaltungssysteme nutzen, um selbige Geheimnisse zu schützen – Azure Key Vault, AWS Secrets Manager und Secret Manager for GCP.

Es gibt Tools, die Ihre Umgebungen scannen können, um hartcodierte Geheimnisse in Quellcode, Identifikator-Repositorys, CI-Umgebungen und Protokollierungssystemen zu finden. Manche Tools können untergeordnet öffentliche persönliche und organisatorische Repositories nachdem Geheimnissen durchsuchen, die notfalls schon offengelegt wurden.

Eine unerträgliche Zug

Ein wichtiger blinder Stelle zu Gunsten von viele Engineering- und Sicherheitsteams ist welcher Einblick in die Identitäten welcher Maschinen, Anwendungen, Dienste oder Workloads, die API-Geheimnisse nutzen. Wenn es zu diesem Zeitpunkt noch nicht gebrochen ist, wird dies welcher Zähler, an dem dasjenige Trägermodell zusammenzubrechen beginnt.

Zwischen welcher manuellen Verwaltung von Geheimnissen, welcher Zartheit dieser statischen Werte und welcher Formgebung und Weise, wie die Explosion welcher API-Nutzung die Menge an kompromittierten Schlüsseln, Token und Zertifikaten erheblich erhoben hat, hat es keinen Einblick in die Entitäten gegeben, die API-Geheimnisse nutzen dasjenige Trägermodell unhaltbar. Dasjenige Zero-Trust-Framework von CISA und NIST 800-207 offenstehen Richtlinien dazu, wie Organisationen Maschinen und Workloads denn nicht-persönliche Einheiten betrachten – nebst denen welcher Benutzer keine Sau, sondern ein anderes Anwendungs- oder Dienstkonto ist.

Während CISA- und NIST-Richtlinien Organisationen beim Umgang mit Identität und Zugriff unterstützen, wurde die Problemlösung zu Gunsten von dieses Problem schon zu Gunsten von Mensch-Maschine-Interaktionen etabliert: Multifaktor-Authentifizierung (MFA). Wenn wir oben die Entstehung von MFA in Bezug aufwärts Anwendungen und Dienste nachdenken, aufwärts die menschliche Benutzer zupacken, besteht welcher Zweck darin, die Benutzeridentität mit einer Schlange von Anmeldeinformationen zu validieren. Viele Unternehmen verlangen von Mitarbeitern, dass sie MFA anregen, um sicherzustellen, dass es tatsächlich Jane ist, die versucht, mit ihrem Benutzernamen und Passwort aufwärts die CRM-Nutzung zuzugreifen, nur zu Gunsten von den Kasus, dass ihre Benutzerdaten kompromittiert wurden. Die statische Natur von Passwörtern, gepaart mit ihrer Tendenz, weit oben die meisten Sicherheitsrichtlinien hinaus zu altern, macht sie zu reifen Zielen zu Gunsten von Angreifer, weshalb viele Unternehmen MFA zu Gunsten von den Zugriff aufwärts Anwendungen mit sensiblen Datenmaterial vorschreiben.

Dasjenige Trägermodell ist nicht zwei Paar Schuhe – Schlüssel, Token und Zertifikate sind statische Werte, die denn Systempasswörter fungieren. Die Herausforderung, vor welcher viele Unternehmen stillstehen, besteht darin, Einblick in die Identitäten welcher Maschinen, Anwendungen, Workloads oder Dienste zu nach sich ziehen, die selbige Anmeldeinformationen letztendlich nutzen.