Keine „Privileged Account Security“-Strategie

Studie zu Zugangsdaten in DevOps-Umgebungen

| Redakteur: Stephan Augsten

Security- und DevOps-Teams arbeiten oft zusammen, in 43 Prozent der Fälle allerdings erst am Ende jedes Entwicklungszyklus.
Security- und DevOps-Teams arbeiten oft zusammen, in 43 Prozent der Fälle allerdings erst am Ende jedes Entwicklungszyklus. (Bild: CyberArk)

Privilegierte Benutzerkonten und Zugangsdaten sind in erster Linie eine Baustelle der IT-Security. Da das Problem aber Bereiche wie die Software-Entwicklung und -Bereitstellung direkt betrifft, hat CyberArk im Rahmen einer Umfrage auch DevOps-Verantwortliche hierzu befragt.

Gerade in den Bereichen Development und Operations ist es nicht unüblich bzw. teils sogar unabdingbar, dass besonders „mächtige“ Accounts erstellt und die Credentials geteilt werden. Deshalb hat CyberArk – ein Experte fürs Privileged Account Management – bei der globalen Umfrage „Advanced Threat Landscape“ auch Verantwortliche aus den Entwicklungsabteilungen zu Wort kommen lassen.

Folgerichtig wurde im Rahmen der Untersuchung auch ein Augenmerk auf Privileged Account Security in DevOps-Umgebungen und -Prozessen gelegt. Faktisch befinden sich privilegierte Accounts und Zugangsdaten in allen für DevOps-Umgebungen relevanten Bereichen, unterstreicht Cyberark.

Auf die spezifizierende Frage, in welchen Bereichen man privilegierte Accounts beziehungsweise Zugangsdaten vermute, gab knapp ein Drittel der deutschen Studienteilnehmer allgemein „Container“ an. 27 Prozent der Befragten erwarten privilegierte Konten und Credentials in ihren Continuous-Delivery- und -Integration-Tools.

Ein Viertel der deutschen Teilnehmer nannte den Bereich Cloud-Umgebungen, wie sie beispielsweise im Rahmen von „Platform as a Service“-Modellen genutzt werden. 14 Prozent antworteten mit „Microservices“, nur zehn von hundert Teilnehmern vermuteten Privileged Accounts in Source-Code-Repositories wie GitHub. Alles in allem besteht CyberArk zufolge große Unsicherheit bzw. Unwissenheit.

Laut der Untersuchung verfolgen 77 Prozent die Mehrheit der deutschen Unternehmen auch keine dedizierte „Privileged Account Security“-Strategie für DevOps. Dies sei vor allem mit Blick auf die zunehmende Nutzung von Cloud-Orchestrierungs- und Automations-Tools in DevOps-Projekten kritisch. Über die Hälfte der Befragten gab an, dass ihr Unternehmen solche Tools für die interne Entwicklung nutzt. 72 Prozent davon vertrauen dabei auf die Sicherheitsmaßnahmen des Cloud-Anbieters.

Darüber hinaus hat die Untersuchung ergeben, dass DevOps- und Security-Teams oft getrennt voneinander arbeiten, in Deutschland in knapp sechs von zehn Fällen. Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf, kommentiert: „Von Jenkins über Puppet bis zu Chef gibt es keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind.“

DevOps benötige einen eigenen Security-Stack, an dieser Stelle seien die Security-Teams gefordert. Sie könnten mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. „DevOps- und Security-Tools und -Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren“, so Kleist. „Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform.”

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44994326 / Mitarbeiter-Management)