Hashicorp Vault als SSO-Lösung
Single-Sign-On (SSO) wird in der heutigen Zeit aufgrund von neuen Sicherheitsaspekten und der DSGVO immer bedeutender. Dafür gibt es eine gute Lösung, welche eine Einmalanmeldung mit bestimmten Zugangsdaten realisiert und die wir hier vorstellen: Hashicorp Vault.
Wofür wird SSO benutzt?
Single-Sign-On ist eine Authentifizierungsmethode, bei der sich ein Nutzer nur einmal mit Benutzernamen und einem Passwort anmelden muss und so Zugriff auf viele unterschiedliche Dienste bekommt. Dadurch wird die Sicherheit in einem Unternehmen erhöht, weil es weniger Zugangsdaten (als mit herkömmlichen Methoden) gibt und so unnötige Sicherheitsrisiken vermieden werden. Zusätzlich kann Zeit durch nur eine Authentifizierung eingespart werden. Außerdem gibt es ein zentrales System, welches die Passwörter und Benutzernamen abspeichert und verwaltet. Das ist vor allem für einen Admin von großem Vorteil.
Was ist Hashicorp Vault überhaupt und wie ist die Funktionsweise?
Hashicorp Vault ist ein Secret-Management-System, welches Zugangsdaten und andere sensible Informationen, sogenannte Secrets, sicher verwaltet und schützt. Vault verwendet dabei ein rollenbasiertes Berechtigungssystem, um sicherzustellen, dass nur autorisierte Benutzer und Systeme auf die Secrets zugreifen können. Besonders Authentifizierung und Autorisierung spielen bei der Zugangskontrolle eine Schlüsselrolle. Es gibt viele unterschiedliche Authentifizierungsmethoden, zum Beispiel LDAP, Benutzername und Passwort, Zertifikate, Token, etc. Diese werden verwendet, um mithilfe kontrollierter Autorisierung einen Zugriff auf die Secret Engines zu erhalten. In diesen sind entweder statische Secrets beispielsweise als Key-Value-Storage abgelegt oder dynamisch generierte Secrets, wie bei Zugangsdaten von Datenbanken, enthalten.
Ein Beispiel
Um das ganze etwas weniger abstrakt zu erklären, stellen Sie sich Folgendes vor: In einer Beispielumgebung gibt es ein LDAP mit bereits vorhandenen Userdaten. Diese sollen per SSO mit einer vorhandenen Postgres-Datenbank verknüpft werden. Allerdings soll eine bestimmte Nutzergruppe mehr Rechte als andere bekommen. Dafür wird nun Vault eingesetzt. Über Vault lässt sich LDAP als Authentifizierungsmethode anbinden und Postgres als Secret Engine. In den Policies von Vault werden dabei die Rechte für die Nutzer so festgelegt, dass manche Gruppen mehr Rechte als andere bekommen und die Anforderungen erfüllt werden können.
Wie kann Hashicorp Vault bei SSO helfen?
Vault erlaubt nicht nur das Speichern, sondern auch das Erstellen, Verwalten und automatische Rotieren von Credentials. Mit nur einer Authentifizierung über eine der Methoden kann der Zugang auf weitere Services erlaubt werden. Ein automatisches Logging über sogenannte "Leases" und "Lease-IDs" hilft bei der Nachverfolgung, wer, wann und wo autorisiert bzw. wer, wann und welche Zugangsdaten generiert oder auf diese zugegriffen hat. Vault ist deshalb ein sehr vielseitiges und leistungsstarkes SSO-Tool.
Wie verläuft das Policy-Mapping?
Ist nach der Authentifizierung ein kompletter Zugriff auf alle Services erlaubt? Nein, denn Vault bietet umfangreiche Möglichkeiten, um Policies, also Berechtigungen innerhalb des Vault Servers, zu erstellen und anzupassen. Durch diese fein abgestimmte Kontrolle des Zugriffs wird die Sicherheit erhöht. Ebenso können Secrets sicher verwaltet werden, da die Zugangsdaten weder in Klartext oder in einer Applikation noch in einer Konfigurationsdatei abgespeichert werden müssen. Benutzer können sich bei Vault anmelden und die benötigten Secrets abrufen, wobei sie die direkten Zugangsdaten oder anderes sensibles Material nicht kennen müssen. Innerhalb von Vault wird die Policy in pfadbasierte Berechtigungen unterteilt und je nach Bedarf angepasst. Auch hier bietet Vault wieder umfangreiche Konfigurationsmöglichkeiten.
Fazit
Hashicorp Vault ist ein starkes Secret-Management-System, das verwendet werden kann, um wichtige Zugangsdaten und andere sensiblen Informationen sicher zu verwalten und zu schützen. Das System bietet eine Vielzahl von Funktionen und Möglichkeiten, die es erleichtern, Secrets sicher zu speichern und zu administrieren. So kann autorisierten Benutzern und Systemen der Zugriff auf die gespeicherten Secrets ermöglicht werden. Wie auch bei anderen SSO-Lösungen muss aufgrund der hohen Komplexität von Hashicorp Vault ein hohes Fachwissen oder eine längere Einarbeitungszeit bedacht werden. Insgesamt lässt sich die Software durch eine hohe Flexibilität und Skalierbarkeit leicht in bestehende Infrastrukturen, wie zum Beispiel Kubernetes, integrieren. Die Möglichkeit, verschiedene Authentifizierungsmethoden zu nutzen und Policies zur Steuerung von Berechtigungen zu erstellen, macht Vault deshalb zu einer sehr guten Lösung besonders in Hinblick auf die IT-Sicherheit.
Seminarempfehlung
IT-Sicherheit für Projektmanager und IT-Leiter - ein Überblick
Zum SeminarStudentin bei ORDIX
Bei Updates im Blog, informieren wir per E-Mail.
Kommentare