Beim Wort „Maschine“ denkt der eine an Gerätschaft in Werkshallen, der andere an eine Schreibmaschine, der Dritte an ein Flugzeug und der Vierte an seine Suzuki oder Harley-Davidson. Sprechen Security-Fachleute von „Maschinenidentitäten“, geraten deshalb die Assoziationen Außenstehender schneller durcheinander als im Schleudergang einer Waschmaschine. Dabei ist das Konzept ein Kernbaustein unserer hybriden Multi-Cloud-Welt. Venafi, Spezialist für Maschinenidentitäts-Management, erweiterte sein Portfolio jüngst um ein SaaS-Angebot für Kubernetes-Umgebungen.
„Miele weiß, was Frauen wünschen.“ So lautete der aus heutiger Sicht nicht ganz lupenrein politisch korrekte Werbeslogan des Haushaltsgeräte-Herstellers Miele damals in der angeblich ach so guten alten Zeit, als noch völlig klar schien, dass die Küche die Domäne der Frau – genauer: der Hausfrau – ist. Inzwischen sind wir viel weiter: Die besserverdienende Werbungs-Zielgruppe von heute kauft sich für Zehntausende Euro eine protzige Markeneinbauküche, um dann doch nur den Kaffeevollautomaten und die Mikrowelle zu benutzen – und das beherrschen Männlein, Weiblein und Diverslein zum Glück gleichermaßen.
Was der Gerätehersteller in grauer – genauer: polaroidbunter – Vorzeit sagen wollte: Wir kennen Ihre Bedürfnisse, auf uns ist Verlass, uns können Sie vertrauen! Schließlich ist Vertrauen in eine Marke die Basis des Konsumverhaltens, so wie ein Grundvertrauen in das Gegenüber die Basis des menschlichen Miteinanders ist: Wenn man nicht darauf vertrauen kann, beim Bezahlen im Gegenzug die versprochene Ware zu erhalten, kommt keine Transaktion zustande. Der Händler bleibt auf seiner Waschmaschine sitzen, und die Hausfrau muss weiter von dem träumen, von dem Miele weiß.
Das mit dem Vertrauen war auch bei persönlichen Zusammentreffen in der Polaroid-Ära schon risikobehaftet; die Digitalisierung aber hebt diese Risiken auf eine ganz neue Ebene. Es geht nicht nur darum, ob man auf Amazon.com den Fünf-Sternchen-Bewertungen und Lobeshymnen überglücklicher Käufer Glauben schenken darf – Stichwort: Fake Reviews. Das Problem wurzelt tiefer: Woher weiß der Nutzer, dass sein Browser ihn wirklich zur richtigen Website führt? Und das Anklicken der Online-Bezahlung tatsächlich zur Weiterleitung an die eigene Hausbank? Woher weiß man, dass die Server der E-Commerce-Site nicht kompromittiert sind? Oder das neue Update, das der Browser per Pop-up-Fenster einfordert?
Was Nutzer wünschen
Nutzer müssen darauf vertrauen können, dass es im digitalen Raum mindestens ebenso mit rechten Dingen zu geht wie im kohlenstoffbasierten. Hier spielen Identitäten eine zentrale Rolle. Einerseits müssen die Nutzer im Online-Leben ihre Identität nachweisen: im einfachsten Fall per Nutzername und Passwort, immer öfter auch per Prüfung biometrischer Merkmale (Fingerabdruck etc.) oder mittels Multi-Faktor-Authentifizierung (Tokens, Authenticator-App). Und gerne stellt sich auch noch ein Captcha in den Weg, sodass der Mensch einem Bot beweisen muss, selbst kein Bot zu sein.
Andererseits aber sollte sich auch das digitale Gegenüber sozusagen ausweisen können: das Softwarepaket (etwa der Browser oder ein Browser-Update), der Web-Server, eine Virtual Machine (VM), eine Cloud-Instanz etc. Hier kommen Zertifikate ins Spiel: Beim Code-Signing bestätigt ein digitales Zertifikat mittels kryptografischer Verfahren die Authentizität und Integrität von Code. Sprich: Das Zertifikat belegt, dass ein Stückchen Software tatsächlich jenes Stückchen ist, das es vorgibt zu sein.
Zertifikate kommen auch zur Absicherung der Kommunikation zwischen Nutzern, Servern, Cloud-Instanzen und smarten Geräten zum Einsatz. (Die Blockchain, die dieses Konzept weitertreibt und auf revisionssichere Transaktionen ausdehnt, lassen wir hier mal weg.) Hinterlegte Zertifikate oder Credentials belegen somit laufend die Authentizität digitaler Instanzen. Eben dies ist es, was Security-Fachleute mit Maschinenidentitäten meinen – außer wenn sie ihrer Harley einen Namen gegeben haben.
Maschinenidentitäten gewinnen an Bedeutung
Diese Maschinenidentitäten spielen zunehmend eine tragende Rolle: „Die Pandemie hat die digitale Transformation enorm befeuert, entsprechend gibt es gewaltiges Wachstum bei digitalen Identitäten“, sagt Kevin Bocek, VP Security Strategy and Threat Intelligence beim Security-Unternehmen Venafi aus dem US-amerikanischen Salt Lake City, einem Spezialanbieter für das Management von Maschinenidentitäten. „Praktisch alles braucht heute Maschinenidentitäten, zum Beispiel TLS-Zertifikate (Transport Layer Security, d.Red.).“ Unternehmen verlangen laut dem Experten immer öfter, dass Applikationen signiert sind, ebenso die Container in Kubernetes-Umgebungen: „Jede Software, die irgendwo läuft, muss signiert sein – also Maschinenidentitäten aufweisen“, sagt Bocek.
Vor diesem Hintergrund hat Venafi sein Portfolio in den letzten Jahren erweitert. Ziel war ein „Shift Left“: „Unser Fokus hat sich von der Absicherung der Infrastruktur auf die Integration der Security von Anfang an verlagert“, so Bocek – also gleich bei der Entstehung des Codes. So akquirierte das Unternehmen im Jahr 2020 mit dem Start-up JetStack den Entwickler von Cert-manager, der Zertifikats-Kontrollinstanz der Container-Orchestrierungslösung Kubernetes, die sich als Quasi-Standard Container-basierter Cloud-Umgebungen etabliert hat. „Diese Software haben wir der CNCF (Cloud Native Computing Foundation, d.Red.) gespendet“, so Bocek.
Der Hintergrund: „Die Anwenderunternehmen haben sich in die Cloud bewegt, zugleich werden Applikationen am Edge (Netzwerkrand, also der Ort der Interaktion von Mensch oder Maschine mit der IT, d.Red.) immer wichtiger“, so Bocek weiter. „Wir müssen die Identitäten näher an die Applikationen bringen. Deshalb denken wir bei Venafi heute API First und Code First. Entwickler brauchen die besten, einfachsten APIs in allen Umgebungen, und das muss über alle Clouds hinweg skalieren.“ Mit Venafi Dev Central biete man Entwicklungsteams einen Ort in der Cloud, an dem sie ihre Software ohne Installation testen können.
Zugleich hat Venafi seine Angebote auf Backend-Seite konsolidiert: „Wir haben all unsere Services unter einer einzigen Control Plane zusammengefasst: von Maschinenidentitäten bis Code-Signing, einschließlich Kubernetes“, so Bocek. Das Portfolio umfasst heute drei SaaS-Angebote: Zero Touch PKI (PKI: Public Key Infrastructure), TLS Protect Cloud (TLS: Transport Layer Security) und das neu eingeführte TLS Protect for Kubernetes.
Drei SaaS-Angebote
Mit Zero Touch PKI zielt Venafi laut Bocek darauf ab, Microsofts Active Directory Services zu ersetzen. „Microsoft hat die Windows Active Directory Certificate Services 2003 vorgestellt, die meisten Unternehmen haben sie zwischen 2003 und 2006 eingeführt“, erläutert er. „Alle zehn Jahre muss man die CA (Certificate Authority, Zertifizierungsinstanz, d.Red.) erneuern, die aktuelle Generation läuft also demnächst aus.“ Venafis Zero Trust PKI ersetze diese AD-Services direkt aus der Cloud heraus. „In Europa betreiben wir dafür redundante Datacenter in Amsterdam und Dublin mit Security-Monitoring rund um die Uhr“, so der Venafi-Manager.
TLS Protect Cloud wiederum zielt auf die Verwaltung und damit Absicherung der Zertifikate für das Standard-Verschlüsselungsverfahren TLS. Denn TLS-Zertifikate haben – wie alle digitalen Zertifikate – eine begrenzte Gültigkeit, und wenn sie abgelaufen sind, dann steht die betreffende Software plötzlich unauthentifiziert da. Ein Kernproblem für IT-Teams liegt darin, angesichts eines rapide wachsenden Zertifikatbestands den Überblick zu erlangen und dann zu behalten.
„TLS Protect Cloud ermöglicht es einem Unternehmen, im Rahmen eines kostenlosen 30-Tage-Testlaufs innerhalb von 30 Sekunden zu starten“, sagt Bocek. „Man klickt auf ‚Discover‘, erhält eine Übersicht über die Zertifikate und kann sofort beginnen, die kritischen bevorzugt zu behandeln.“ Mit „kritisch“ ist hier gemeint: Zertifikate, die bereits abgelaufen sind oder aber in Kürze abzulaufen drohen.
In Unternehmen sind Kubernetes-basierte Container-Umgebungen zunehmend beliebt. Das verschärft die Situation an der Identitätsfront. Denn Container werden nach Bedarf automatisiert auf- und wieder abgebaut. In Cloud-Umgebungen sind Container oft nur minutenlang in Betrieb, müssen aber dennoch verlässlich und authentifiziert sein.
„Ein wachsendes Problem besteht darin, dass heute Kubernetes überall zum Einsatz kommt, aber oft der Überblick fehlt“, führt Kevin Bocek aus. „Cloud-native Software ist so konzipiert, dass sie überall laufen kann, es gibt eine Identität für jede Workload, jeden Cluster. Das ist es, was Ops-Teams (IT-Betriebsteams, d.Red.) oft nicht verstehen: Sicherheit ist in diese Technologie eingebaut, und sie läuft einfach – aber eben nur, bis etwas falsch konfiguriert ist oder ein Zertifikat abläuft.“ Deshalb sei es ein wichtiger Schritt, den Überblick über alles zu behalten, was in einer Kubernetes-Umgebung stattfindet.
Hier soll Venafis TLS Protect for Kubernetes helfen, das der US-Anbieter Ende Januar vorgestellt hat. Das neue Angebot bietet laut Hersteller ein verlässliches und skalierbares Maschinenidentitäts-Management für jegliche Kubernetes-Workloads und -Cluster, ob lokal oder in der Cloud. Das IT-Team sehe damit alle gängigen Zertifikate – ob TLS, mTLS, SVID oder Spiffe – einschließlich jener, die nicht von Cert-manager stammen. Es könne den Zustand von Cert-manager über alle Kubernetes-Cluster hinweg beobachten. Zudem liefere die SaaS-Lösung Berichte über Richtlinienverstöße und Fehlkonfigurationen.
Kurz: Venafis TLS Protect for Kubernetes hilft Unternehmen, ihre Maschinenidentitäten in einem sauberen Zustand zu bewahren, selbst wenn der Einsatz von Kubernetes das Tempo des Zertifikat-Managements vom Waschgang zum Schleudergang steigert. Offenbar weiß Venafi, was Ops-Teams wünschen.
(Dieser Beitrag erschien erstmals in LANline 05/2023.)
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
Bild: (c) Wolfgang Traub
IT Info 2 Go 