Suchen

Interview mit Kevin Bocek, Venafi, zur Übernahme von Jetstack „Implementierung von Automatisierung muss mit großer Sorgfalt erfolgen“

| Redakteur: Stephan Augsten

Venafi schickt sich an, Spezialist für Sicherheit in Microservice-orientierten Umgebungen zu werden. Hierfür wurde Jetstack akquiriert, ein Spezialist für den Einsatz von Kubernetes in geschäftskritischen Cloud-Infrastrukturen. Dev-Insider hat sich mit Kevin Bocek von Venafi über die Akquise unterhalten.

Firmen zum Thema

Kevin Bocek: „Viele Entwickler empfinden bestehende Sicherheitsrichtlinien als langsam, die Prozesse zur Ausstellung von Unternehmenszertifikaten sind ihnen oft zu umständlich.“
Kevin Bocek: „Viele Entwickler empfinden bestehende Sicherheitsrichtlinien als langsam, die Prozesse zur Ausstellung von Unternehmenszertifikaten sind ihnen oft zu umständlich.“
(Bild: Venafi)

Dev-Insider: Herr Bocek, was genau macht eigentlich Jetstack und warum hat sich Venafi für die eine Übernahme entschieden?

Kevin Bocek: Zunächst einmal ist Jetstack ein in Großbritannien ansässiger Open-Source-Entwickler. Jetstack und Venafi haben in den letzten zwei Jahren eng zusammengearbeitet, um die Innovationsgeschwindigkeit für die nächste Generation von Machine Identity Protection in Kubernetes und Multi-Cloud-, Service-Mesh- sowie Mikroservice-Ökosystemen zu beschleunigen.

Die Akquisition löst das Problem der Spannung zwischen Information-Security-Teams und Entwicklern, während die digitale Transformation aufgrund der Covid-19-Krise noch schneller voranschreitet. Die Entwickler müssen schnell arbeiten, das Security-Team die Sicherheit gewährleisten.

In der Vergangenheit wurde Information Security in vielen Fällen dafür schuldig gemacht, die Entwicklungsarbeit zu verlangsamen. Nun geht es darum, das Beste aus beiden Welten zu kombinieren: zu beschleunigen und gleichzeitig den InfoSec-Teams die Sichtbarkeit, Intelligenz und Automatisierung zu bieten, die erforderlich sind, um digital transformierte Organisationen zu sichern.

Jetstack war im Übrigen einer der ersten Entwickler, der Mittel aus dem Machine Identity Protection Development Fund erhielt. Tatsächlich wäre der von Jetstack entwickelte Cert-Manager ohne die Unterstützung von Venafi nicht dort, wo er heute ist.

Dev-Insider: Was genau macht dieser Cert-Manager?

Bocek: Der Cert-Manager ist ein schneller und einfacher Weg für Entwickler, Zertifikate mit Kubernetes und nativen Cloud-Tools zu erstellen, zu verbinden und zu konsumieren. Dadurch lassen sich Anwendungen, einschließlich moderner Software-Architekturen wie Microservices, sicher bereitstellen und betreiben.

Der Cert-Manager findet sich überall im Cloud-Native-Ökosystem und wird von Projekten wie NGINX, Istio, Knative, Kubeadm und Cluster API sowie vielen anderen eingesetzt. Die Verwendung von Cert-Manager-Integrationen mit ISV-Software und anderen Cloud-Angeboten nimmt ebenfalls zu. Die Cert-Manager-Community hat Hunderte von Open-Source-Kontributoren und Millionen von Downloads mit 7.000 GitHub-„Stars“.

Dev-Insider: Sie haben vorhin von Machine Identity Protection gesprochen. Was genau macht die Maschinenidentitäten aus und in welchem Zusammenhang stehen sie mit DevOps-Strategien?

Bocek: DevOps-Teams können viel schneller, effizienter und agiler arbeiten, wenn geeignete Automatisierungssysteme für die Bereitstellung der Maschinenidentität implementiert werden. Rollenbasierte Zugriffskontrollsysteme, die wir auch als RBAC bezeichnen, reagieren besser auf die dynamischen Anforderungen bei der Verwaltung privilegierter Zugriffe.

Netzwerke werden viel sicherer, wenn das DevOps-Team die Automatisierung in ihren Authentifizierungssystemen einbezieht. So weit wie möglich sollten Entwickler dabei mit ordnungsgemäß gesicherten Testzertifikaten statt mit Produktionszertifikaten arbeiten. Auf diese Weise können Cyber-Angreifer nicht ohne weiteres Entwicklungs- und Testumgebungen kapern. Im schlimmsten Fall könnten sie dann nämlich auf größere Code-Repositorys und Maschinenidentitäten in der gesamten Organisation zugreifen.

Weiter lässt sich die Sicherheit verbessern, indem DevOps-Teams Systeme für eine kontinuierliche Überwachung aufbauen, die es ihnen ermöglichen, Code in kleineren Blöcken freizugeben. Das hat gleich mehrere Vorteile: Kleinere Patches und Korrekturen weisen weniger Fehler auf, durch die neue Sicherheitslücken entstehen können. Und wenn sich doch einmal ein Bug einschleicht, lässt er sich viel schneller identifizieren und patchen.

Größtmögliche Automatisierung in DevOps-Umgebungen ist auch hier einmal mehr die beste Option, um die Nutzung von Maschinenidentitäten zu verbessern. Automatisierung trägt dazu bei, Anwendungen während des gesamten Entwicklungslebenszyklus sicherer zu machen, da ihnen auf Anfrage automatisch neue Zertifikate zugewiesen werden. Aber die Implementierung dieser Automatisierung muss mit großer Sorgfalt erfolgen.

Dev-Insider: Wo liegen in aktuellen Umgebungen die größten Probleme von Maschinenidentitäten und wie hilft man DevOps-Teams, die Risiken zu reduzieren?

Bocek: Bei DevOps dreht sich alles um Geschwindigkeit. In der Folge empfinden viele Entwickler bestehende Sicherheitsrichtlinien als langsam, die Prozesse zur Ausstellung von Unternehmenszertifikaten sind ihnen oft zu umständlich. Dementsprechend verwenden sie unsichere Maschinenidentitäten, einschließlich Zertifikaten von nicht autorisierten Zertifizierungsstellen (CAs) und selbstsignierten oder Wildcard-Zertifikaten.

Gleichzeitig wächst die Anzahl der Maschinen, die Identitäten benötigen, – einschließlich virtueller Maschinen, Anwendungen, Algorithmen, APIs und Container – exponentiell. Sicherheitsteams müssen es den Entwicklern also einfacher machen, Maschinenidentitäten zu verwenden. DevOps-Mitarbeiter benötigen Hilfe bei der Erkennung, Verfolgung und kontinuierlichen Überwachung aller digitalen Zertifikate, damit sie zertifikatsbedingte Ausfälle aktiv verhindern können.

Für die meisten Unternehmen besteht die größte Herausforderung bei der Wiederherstellung nach einem solchen Ausfall nicht darin, das betroffene Zertifikat zu ersetzen, sondern es zu finden. Das ist einer der Gründe, warum einige Organisationen auf einen zertifikatsbedingten Ausfall erst nach mindestens sechs Stunden reagieren können.

Venafi automatisiert über seine Plattform den gesamten Erneuerungsprozess, so dass sich Zertifikate innerhalb von Sekunden im gesamten Unternehmen austauschen lassen, unabhängig von der Zertifizierungsstelle. Eine integrierte Validierungsfunktion meldet, dass die Zertifikate installiert, funktionsfähig und aktuell sind und die Rechner-Identitäten schützen.

Kevin Bocek ist Vice President of Security Strategy and Threat Intelligence bei Venafi.

(ID:46647690)