Bei der Generierung und Absicherung von Passwörtern setzen Unternehmen immer häufiger auf Passwort-Tresore – insbesondere dann, wenn es sich um Zugangsdaten für privilegierte Konten and Anwendungen handelt. Dabei stehen den IT-Abteilungen verschiedene Tresorlösungen zur Verfügung, die unterschiedliche Anforderungen – sei es in Sachen Skalierbarkeit oder Geschwindigkeit – erfüllen. Denn was der Tresor letztlich leisten muss, hängt stark von den unterschiedlichen Voraussetzungen des Unternehmens ab.
Der Privileged Access Management-Experte Thycotic zeigt im Folgenden, welche Fragen sich IT-Verantwortliche stellen müssen, um einen Passwort-Manager auszuwählen, der ihren individuellen Anforderungen gerecht wird:
- Ist eine Automatisierung erforderlich oder reicht eine manuelle Bereitstellung?
In einem ersten Schritt muss zunächst der spätere Einsatzbereich des Passworttresors festgelegt werden, um zu entscheiden, ob eine Automatisierung vonnöten ist oder nicht. Hier gilt es zu klären, ob der Tresor ausschließlich oder hauptsächlich zur Verwaltung von Anmeldeinformationen von Personen verwendet werden soll – dazu zählen klassische Benutzernamen und Passwörter für verschiedene Accounts. In diesem Fall ist eine manuelle Bereitstellung der User-Berechtigungen ausreichend. Sollte eine schnelle Bereitstellung erwünscht sein, empfiehlt es sich jedoch, einen Tresor auszuwählen, der mit Active Directory oder dem eingesetzten Identitätsmanagementsystem integriert werden kann.
Für den Fall, dass ein umfangreicherer Einsatz geplant ist, d.h. dass auch SSH-Schlüssel, Zertifikate, API-Schlüssel und Token, die Zugriff auf nicht-menschliche privilegierte Konten ermöglichen, über einen Tresor bereitgestellt werden sollen, sind die Geschwindigkeitsanforderungen deutlich höher. Die System-Authentifizierung und -Autorisierung muss hier automatisch und unmittelbar erfolgen, damit Anwendungen, Dateien, und Dienste Informationen ohne Verzögerung austauschen und Prozesse sofort starten können. Hierfür ist eine Programmierschnittstelle (API) erforderlich, um verschiedene Systeme miteinander zu verbinden und Berechtigungen einzuspeisen.
- Wie hoch ist die Anzahl der Integrationen?
Ein wichtiger Punkt, den IT-Abteilungen beachten sollten, ist die Anzahl an Accounts oder Anwendungen, die regelmäßig integrieren müssen. Hierzu zählen etwa Service- und Anwendungskonten, die sich regelmäßig mit einer Datenbank verbinden, um Massenaktualisierungen durchzuführen, aber auch bestimmte IoT- und Cloud-Applikationen, die sich allein an einem Tag hunderte bis tausende Male verknüpfen. Sobald eine sehr hohe Anzahl an Benutzern und Systemen gleichzeitig Transaktionen durchführen, ist eine einfache API längst nicht mehr ausreichend. Hier ist ein Passworttresor mit erweiterter Leistung und Geschwindigkeit unabdinglich.
- Wie dynamisch ist die IT-Umgebung?
Ein weiterer ausschlaggebender Punkt ist die Dynamik der Unternehmens-IT. Soll der Tresor ausschließlich für die Verwaltung von Zugangsdaten für statische, IP-basierte Lösungen eingesetzt werden? Oder wird in dynamischen, virtuellen Umgebungen mit häufig wechselnden Anwendungen und Maschinen gearbeitet? In einem DevOps-Workflow werden zum Beispiel ständig neue Umgebungen geschaffen und wieder beseitigt. Aber auch Microservices und Container erfordern typischerweise eine höhere Geschwindigkeit, als eine herkömmliche Passwort Management-Lösung bewältigen kann. In diesem Fall sind Hochgeschwindigkeitstresore, die speziell auf DevOps-Umgebungen ausgerichtet sind, vonnöten, wie etwa der DevOps Secrets Vault von Thycotic.
- Zentralisierte versus verteilte Steuerung?
Wird die IT-Sicherheit eines Unternehmens von einem einzigen Team, d.h. zentral, verantwortet, können mit einer einzige PAM-Lösung konsistente Zugriffsrichtlinien und ein umfassendes Reporting umgesetzt werden. Dies bedeutet jedoch, dass jede Entscheidung oder Aktion auch über dieses Team gehen muss, was letztlich Produktivitätseinbußen zur Folge haben kann. Dies gilt insbesondere für verteilte Teams in globalen Unternehmen. Vor allem für diese Zielgruppe besteht der Schlüssel zum Erfolg darin, auch Geschäftsanwendern, Entwicklern und anderen IT-Teams die Möglichkeit zu geben, innerhalb der Struktur eines zentralen, richtlinienbasierten Systems das zu tun, was sie tun müssen, weshalb eine anpassbare Passwort-Management-Lösung hier sinnvoll ist.
