Suchen

Keine „Privileged Account Security“-Strategie Studie zu Zugangsdaten in DevOps-Umgebungen

| Autor: Stephan Augsten

Privilegierte Benutzerkonten und Zugangsdaten sind in erster Linie eine Baustelle der IT-Security. Da das Problem aber Bereiche wie die Software-Entwicklung und -Bereitstellung direkt betrifft, hat CyberArk im Rahmen einer Umfrage auch DevOps-Verantwortliche hierzu befragt.

Firmen zum Thema

Security- und DevOps-Teams arbeiten oft zusammen, in 43 Prozent der Fälle allerdings erst am Ende jedes Entwicklungszyklus.
Security- und DevOps-Teams arbeiten oft zusammen, in 43 Prozent der Fälle allerdings erst am Ende jedes Entwicklungszyklus.
(Bild: CyberArk)

Gerade in den Bereichen Development und Operations ist es nicht unüblich bzw. teils sogar unabdingbar, dass besonders „mächtige“ Accounts erstellt und die Credentials geteilt werden. Deshalb hat CyberArk – ein Experte fürs Privileged Account Management – bei der globalen Umfrage „Advanced Threat Landscape“ auch Verantwortliche aus den Entwicklungsabteilungen zu Wort kommen lassen.

Folgerichtig wurde im Rahmen der Untersuchung auch ein Augenmerk auf Privileged Account Security in DevOps-Umgebungen und -Prozessen gelegt. Faktisch befinden sich privilegierte Accounts und Zugangsdaten in allen für DevOps-Umgebungen relevanten Bereichen, unterstreicht Cyberark.

Auf die spezifizierende Frage, in welchen Bereichen man privilegierte Accounts beziehungsweise Zugangsdaten vermute, gab knapp ein Drittel der deutschen Studienteilnehmer allgemein „Container“ an. 27 Prozent der Befragten erwarten privilegierte Konten und Credentials in ihren Continuous-Delivery- und -Integration-Tools.

Ein Viertel der deutschen Teilnehmer nannte den Bereich Cloud-Umgebungen, wie sie beispielsweise im Rahmen von „Platform as a Service“-Modellen genutzt werden. 14 Prozent antworteten mit „Microservices“, nur zehn von hundert Teilnehmern vermuteten Privileged Accounts in Source-Code-Repositories wie GitHub. Alles in allem besteht CyberArk zufolge große Unsicherheit bzw. Unwissenheit.

Laut der Untersuchung verfolgen 77 Prozent die Mehrheit der deutschen Unternehmen auch keine dedizierte „Privileged Account Security“-Strategie für DevOps. Dies sei vor allem mit Blick auf die zunehmende Nutzung von Cloud-Orchestrierungs- und Automations-Tools in DevOps-Projekten kritisch. Über die Hälfte der Befragten gab an, dass ihr Unternehmen solche Tools für die interne Entwicklung nutzt. 72 Prozent davon vertrauen dabei auf die Sicherheitsmaßnahmen des Cloud-Anbieters.

Darüber hinaus hat die Untersuchung ergeben, dass DevOps- und Security-Teams oft getrennt voneinander arbeiten, in Deutschland in knapp sechs von zehn Fällen. Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf, kommentiert: „Von Jenkins über Puppet bis zu Chef gibt es keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind.“

DevOps benötige einen eigenen Security-Stack, an dieser Stelle seien die Security-Teams gefordert. Sie könnten mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. „DevOps- und Security-Tools und -Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren“, so Kleist. „Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform.”

Artikelfiles und Artikellinks

(ID:44994326)

Über den Autor

 Stephan Augsten

Stephan Augsten

Chefredakteur, Dev-Insider