Fünf Empfehlungen zur Sicherung privilegierter Zugriffe in DevOps-Umgebungen

CyberArk präsentiert den neuen Forschungsbericht „The CISO View: Protecting Privileged Access in DevOps and Cloud Environments“. Er basiert auf den Erfahrungswerten eines CISO-Panels aus Global-1000-Unternehmen und liefert fünf Empfehlungen für die Sicherung von DevOps-Prozessen.

Sicherheitsstrategien müssen unternehmensweite Maßnahmen zum Schutz privilegierter Zugriffe und Zugangsdaten umfassen – gerade auch im DevOps-Umfeld, in dem etliche Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code oft ungesichert sind. So hat auch der „Global Advanced Threat Landscape Report 2018“ von CyberArk ergeben, dass mehr als 70 Prozent der befragten Unternehmen noch keine „Privileged Access Security“-Strategie für DevOps-Umgebungen haben.

Der neue CISO-View-Report liefert nun für die Umsetzung einer solchen Strategie fünf zentrale Empfehlungen, die auf realen Erfahrungswerten der teilnehmenden Verantwortlichen für die Informationssicherheit basieren:

1. Einbindung der Security-Teams in DevOps-Prozesse: Förderung der Zusammenarbeit von Security- und DevOps-Teams sowie Integration von DevOps- und Security-Tools und Practices in die Standardvorgehensweisen.

2. Priorisierung der Sicherung von DevOps-Tools und Infrastrukturen: Konzeption und Umsetzung von Richtlinien für die Tool-Auswahl und -Konfiguration, die Kontrolle des Zugriffs auf DevOps-Tools, die Umsetzung von Least-Privileges-Konzepten sowie die Sicherung und Überwachung von Infrastrukturen.

3. Etablierung unternehmensweit gültiger Anforderungen für die Sicherung von Zugangsdaten und Secrets: Aufbau eines zentralen Zugangsdaten-Managements, Erweiterung von Audit- und Überwachungssystemen, Elimination von festen Zugangsdaten in Tools und Applikationen sowie Entwicklung wiederverwendbarer Code-Module.

4. Einführung von Prozessen für das Testen von Applikationen: Integration automatisierter Code-Tests, kontinuierliche Behebung von Sicherheitsproblemen im Entwicklungsprozess und eventuell Aufsetzen eines „Bug Bounty“-Programms.

5. Evaluierung der Resultate des DevOps-Sicherheitsprogramms: Regelmäßige Überprüfung der Secrets-Management-Lösung und Ermittlung von Optimierungspotenzialen.

„Nach wie vor wird in DevOps-Umgebungen oft die Sicherheit vernachlässigt – ein gravierender Fehler, denn gerade DevOps erweitert die Angriffsfläche für Cyber-Attacken erheblich“, erklärt Michael Kleist, Regional Director DACH bei CyberArk. „Der neue CISO View Report gibt Unternehmen nun fünf Empfehlungen an die Hand, wie sie DevOps-Workflows sichern können, ohne dabei die Entwicklerproduktivität zu beeinträchtigen oder die Bereitstellung neuer Services zu verzögern.“

Der neue Report ist Teil der CISO-View-Industrieinitiative, die von CyberArk gesponsert wird. Im Rahmen der Initiative werden Forschungen durchgeführt und Leitfäden entwickelt, die Sicherheitsteams bei der Konzeption und Umsetzung effizienter Cyber-Security-Programme unterstützen. Dem CISO View Panel gehören unter anderem CISOs folgender Unternehmen an: American Express Company, American Financial Group, Asian Development Bank, Carlson Wagonlit Travel, CIBC, GIC Private Limited, ING Bank, Lockheed Martin, NTT Communications, Orange Business Services, Pearson, Rockwell Automation und Starbucks. Download des „The CISO View: Protecting Privileged Access in DevOps and Cloud Environments“ und weiterer Reports unter https://www.cyberark.com/cisoview/