Laut GitHub gab im Jahr 2022 jeder zehnte Software-Entwickler ein Secret in seinem Repository preis, wobei 67 Prozent davon allgemeine Informationen wie Benutzername und Passwort waren. Die Verwendung von fest kodierten Anmeldeinformationen ist für Entwickler, die unter dem Druck stehen, möglichst schnell zu programmieren, zwar einfacher, stellt für das Unternehmen aber ein erhebliches Sicherheitsrisiko dar. Soll dies vermieden werden, braucht es einen Mechanismus, der es Entwicklern ermöglicht, bei der Verbindung verschiedener Anwendungsschichten in der Codierung weniger Dienstkonten zu verwenden. Auf diese Weise kann eine harte Codierung vermieden werden, ohne die nötige Flexibilität einzuschränken.
Vor diesem Hintergrund stellt Delinea mit seinem US-Patent für Delegated Machine Credentials (DMC) eine vereinfachte und benutzerfreundliche Workload-Authentifizierung innerhalb seiner Server PAM-Lösung zur Verfügung. So profitieren DevOps- und DevSecOps-Teams bei der Entwicklung von Anwendungen, für die ein privilegierter Zugriff auf und für Workloads in der Cloud- und der On-Premises-Infrastruktur erforderlich ist, von einer einzigartigen Automatisierung. Zudem wird durch die Delegierung von Maschinen-Berechtigungen die Anzahl der benötigten Dienstkonten erheblich reduziert, was die Angriffsfläche verringert und die Agilität der Teams verbessert.
Vereinfachter privilegierter Zugang im Code
Unternehmen, die eine Alternative zu dem bereits von Delinea DevOps Vault abgedeckten Tresor-Ansatz suchen, können mit Delegated Machine Credentials in der Server PAM-Lösung die Privilegienkontrolle in ihrer Infrastruktur optimieren und gleichzeitig einen sicheren und effizienten Maschinenzugriff gewährleisten.
Sobald eine Maschine zum ersten Mal im Server PAM registriert wird, wird ein Client installiert und der Maschine wird automatisch eine eindeutige Identität mit Rollen, Rechten und Berechtigungen zugewiesen. Über DMC kann diese Vertrauensbeziehung dann allen autorisierten Anwendungen, Diensten, Containern oder anderen Workloads zugewiesen werden, die über diese laufen. Durch Server PAM verfügt der Rechner über ein dauerhaftes verbindliches Vertrauen, welches wiederum an die Workloads delegiert wird. Dies führt dazu, dass die Anzahl der erforderlichen Servicekonten von einem pro Workload auf ein automatisch verwaltetes pro Maschine reduziert wird. Anstelle eines statischen Berechtigungsnachweises wird ein Verbund-Token bereitgestellt, so dass nichts, was kompromittiert werden könnte, im Code verbleibt. Durch die Verwendung derselben privilegierten Zugriffsrichtlinien für die Workloads, die bereits auf den Computer angewendet werden, wird sichergestellt, dass die manuellen Aufgaben des Privileged-Access-Managements für DevOps-Teams auf ein Minimum reduziert werden.
