Maschinenidentitäten
Richtlinien zur Ausstellung von Zertifikaten bremsen DevOps-Profis aus
Weniger als die Hälfte der Befragten schützen ihre autorisierten Kanäle mit Maschinenidentitäten
Venafi®,der Erfinder und führende Anbieter zum Schutz von Maschinenidentitäten, gibt die Ergebnisse einer Umfrage über Richtlinien und Praktiken zur Sicherheit digitaler Zertifikate in DevOps-Umgebungen bekannt. Grundlage ist die Aussage von 108 Spezialisten, die am DevOps Enterprise Summit 2019 (DOES19) in Las Vegas, Nevada, teilnahmen.
Laut dieser Umfrage sind 75 Prozent der DevOps-Profis besorgt, dass Richtlinien für die Ausstellung von Zertifikaten die Entwicklung verlangsamen. Mehr als ein Drittel (39%) geben an, dass Entwickler in der Lage sein sollten, diese Regelungen zu umgehen, um Service Level Agreements einzuhalten. Darüber hinaus sind weniger als die Hälfte (48%) der Befragten der Meinung, die Entwickler in ihrem Unternehmen fordern Zertifikate ausschließlich über die vom Sicherheitsteam genehmigten Methoden und Kanäle an.
Kryptographische Schlüssel und Zertifikate werden als Maschinenidentitäten bezeichnet und ermöglichen die Authentifizierung und sichere Kommunikation für Anwendungen, Service-Container und APIs in Unternehmensnetzwerken, im Internet und in Cloud-Umgebungen. Die Verwendung von schwachen oder nicht autorisierten Schlüsseln und Zertifikaten kann die Sicherheitsrisiken, insbesondere in Cloud-Umgebungen, erheblich erhöhen. Entwickler verwenden unsichere Maschinenidentitäten, einschließlich Zertifikate von nicht autorisierten Zertifizierungsstellen (CAs) und selbstsignierte oder Wildcard-Zertifikate, da die Prozesse zur Ausstellung von Unternehmenszertifikaten oftmals als zu umständlich angesehen werden. Die Sicherheitsteams tappen im Dunkeln und haben ein höheres organisatorisches Risiko, insbesondere wenn Schlüssel- und Zertifikatsschwachstellen oder Fehler in die Produktionsumgebung gelangen.
„Bei DevOps dreht sich alles um Geschwindigkeit, jedoch zeigt unsere Umfrage auf, dass Entwickler Sicherheitsrichtlinien häufig nur sehr langsam finden“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Leider sind sich die Sicherheitsexperten oft nicht bewusst, welche Risiken DevOps-Prozesse für ihre Unternehmen mit sich bringen. Letztendlich müssen es die Sicherheitsteams den Entwicklern vereinfachen, Maschinenidentitäten zu verwenden. Dies muss einfacher und schneller funktionieren, als bestehende Richtlinien zu umgehen. Ansonsten werden die Probleme weiterhin exponentiell zunehmen. Unternehmen, die auf DevOps-Prozesse vertrauen, benötigen Transparenz, Intelligenz und Automatisierung, um ihre Maschinenidentitäten zu schützen.“