Secrets Management: IT-Pipelines mit dynamischen Secrets absichern

Zugangsdaten sind das Fundament moderner IT-Sicherheit. Da für jedes Computersystem eine eigene, geheime Zeichenfolge benötigt wird, kommen viele Zugangsdaten zusammen. Üblicherweise legt man diese in einem sicheren Speicher ab. Das führt jedoch zu einer Henne-Ei-Problematik: Um auf die geschützten Zugangsdaten zuzugreifen, ist eine weitere geheime Zeichenfolge notwendig, die nicht im sicheren Speicher verwahrt werden darf: das Secret Zero. Die Problematik, wie damit umzugehen ist, bezeichnet man als Secret-Zero-Problem.

Bei menschlichen Nutzern ist diese Frage leicht beantwortet, denn man kann sie instruieren, sich das Secret Zero zu merken. Damit ist das Problem, wenn nicht gelöst, doch zumindest aus der technischen in die organisatorische Ebene verlagert. In automatisierten Workflows und Pipelines zu findende Maschinenidentitäten erfordern jedoch einen anderen Ansatz.

Der folgende Artikel diskutiert den Umgang mit Zugangsdaten in den verschiedenen Abschnitten einer Pipeline, gibt praktische Handlungsempfehlungen und beschreibt deren Implementierung. Die betrachteten Pipelines stellen per Terraform und GitHub Actions eine Funktion in Azure bereit, die auf andere Azure-Dienste zugreift. Die wesentlichen Aspekte der Softwareentwicklung mit der Kombination Azure, GitHub Actions und Terraform spricht der Artikel ebenfalls an.

Das war die Leseprobe unseres heise-Plus-Artikels „Secrets Management: IT-Pipelines mit dynamischen Secrets absichern“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.