Venafi mit SaaS-Lösung für Kubernetes
Die Waschmaschine Ihres Vertrauens
Fortsetzung des Artikels von Teil 1
Maschinenidentitäten gewinnen an Bedeutung
Diese Maschinenidentitäten spielen zunehmend eine tragende Rolle: „Die Pandemie hat die digitale Transformation enorm befeuert, entsprechend gibt es gewaltiges Wachstum bei digitalen Identitäten“, sagt Kevin Bocek, VP Security Strategy and Threat Intelligence beim Security-Unternehmen Venafi aus dem US-amerikanischen Salt Lake City, einem Spezialanbieter für das Management von Maschinenidentitäten. „Praktisch alles braucht heute Maschinenidentitäten, zum Beispiel TLS-Zertifikate (Transport Layer Security, d.Red.).“ Unternehmen verlangen laut dem Experten immer öfter, dass Applikationen signiert sind, ebenso die Container in Kubernetes-Umgebungen: „Jede Software, die irgendwo läuft, muss signiert sein – also Maschinenidentitäten aufweisen“, sagt Bocek.
Vor diesem Hintergrund hat Venafi sein Portfolio in den letzten Jahren erweitert. Ziel war ein „Shift Left“: „Unser Fokus hat sich von der Absicherung der Infrastruktur auf die Integration der Security von Anfang an verlagert“, so Bocek gegenüber LANline – also gleich bei der Entstehung des Codes. So akquirierte das Unternehmen im Jahr 2020 mit dem Start-up JetStack den Entwickler von Cert-manager, der Zertifikats-Kontrollinstanz der Container-Orchestrierungslösung Kubernetes, die sich als Quasi-Standard Container-basierter Cloud-Umgebungen etabliert hat. „Diese Software haben wir der CNCF (Cloud Native Computing Foundation, d.Red.) gespendet“, so Bocek.
Der Hintergrund: „Die Anwenderunternehmen haben sich in die Cloud bewegt, zugleich werden Applikationen am Edge (Netzwerkrand, also der Ort der Interaktion von Mensch oder Maschine mit der IT, d.Red.) immer wichtiger“, so Bocek weiter. „Wir müssen die Identitäten näher an die Applikationen bringen. Deshalb denken wir bei Venafi heute API First und Code First. Entwickler brauchen die besten, einfachsten APIs in allen Umgebungen, und das muss über alle Clouds hinweg skalieren.“ Mit Venafi Dev Central biete man Entwicklungsteams einen Ort in der Cloud, an dem sie ihre Software ohne Installation testen können.
Zugleich hat Venafi seine Angebote auf Backend-Seite konsolidiert: „Wir haben all unsere Services unter einer einzigen Control Plane zusammengefasst: von Maschinenidentitäten bis Code-Signing, einschließlich Kubernetes“, so Bocek. Das Portfolio umfasst heute drei SaaS-Angebote: Zero Touch PKI (PKI: Public Key Infrastructure), TLS Protect Cloud (TLS: Transport Layer Security) und das neu eingeführte TLS Protect for Kubernetes.
Drei SaaS-Angebote
Mit Zero Touch PKI zielt Venafi laut Bocek darauf ab, Microsofts Active Directory Services zu ersetzen. „Microsoft hat die Windows Active Directory Certificate Services 2003 vorgestellt, die meisten Unternehmen haben sie zwischen 2003 und 2006 eingeführt“, erläutert er. „Alle zehn Jahre muss man die CA (Certificate Authority, Zertifizierungsinstanz, d.Red.) erneuern, die aktuelle Generation läuft also demnächst aus.“ Venafis Zero Trust PKI ersetze diese AD-Services direkt aus der Cloud heraus. „In Europa betreiben wir dafür redundante Datacenter in Amsterdam und Dublin mit Security-Monitoring rund um die Uhr“, so der Venafi-Manager.
TLS Protect Cloud wiederum zielt auf die Verwaltung und damit Absicherung der Zertifikate für das Standard-Verschlüsselungsverfahren TLS. Denn TLS-Zertifikate haben – wie alle digitalen Zertifikate – eine begrenzte Gültigkeit, und wenn sie abgelaufen sind, dann steht die betreffende Software plötzlich unauthentifiziert da. Ein Kernproblem für IT-Teams liegt darin, angesichts eines rapide wachsenden Zertifikatbestands den Überblick zu erlangen und dann zu behalten. „TLS Protect Cloud ermöglicht es einem Unternehmen, im Rahmen eines kostenlosen 30-Tage-Testlaufs innerhalb von 30 Sekunden zu starten“, sagt Bocek. „Man klickt auf ‚Discover‘, erhält eine Übersicht über die Zertifikate und kann sofort beginnen, die kritischen bevorzugt zu behandeln.“ Mit „kritisch“ ist hier gemeint: Zertifikate, die bereits abgelaufen sind oder aber in Kürze abzulaufen drohen.
In Unternehmen sind Kubernetes-basierte Container-Umgebungen zunehmend beliebt. Das verschärft die Situation an der Identitätsfront. Denn Container werden nach Bedarf automatisiert auf- und wieder abgebaut. In Cloud-Umgebungen sind Container oft nur minutenlang in Betrieb, müssen aber dennoch verlässlich und authentifiziert sein.
„Ein wachsendes Problem besteht darin, dass heute Kubernetes überall zum Einsatz kommt, aber oft der Überblick fehlt“, führt Kevin Bocek aus. „Cloud-native Software ist so konzipiert, dass sie überall laufen kann, es gibt eine Identität für jede Workload, jeden Cluster. Das ist es, was Ops-Teams (IT-Betriebsteams, d.Red.) oft nicht verstehen: Sicherheit ist in diese Technologie eingebaut, und sie läuft einfach – aber eben nur, bis etwas falsch konfiguriert ist oder ein Zertifikat abläuft.“ Deshalb sei es ein wichtiger Schritt, den Überblick über alles zu behalten, was in einer Kubernetes-Umgebung stattfindet.
Hier soll Venafis TLS Protect for Kubernetes helfen, das der US-Anbieter Ende Januar vorgestellt hat. Das neue Angebot bietet laut Hersteller ein verlässliches und skalierbares Maschinenidentitäts-Management für jegliche Kubernetes-Workloads und -Cluster, ob lokal oder in der Cloud. Das IT-Team sehe damit alle gängigen Zertifikate – ob TLS, mTLS, SVID oder Spiffe – einschließlich jener, die nicht von Cert-manager stammen. Es könne den Zustand von Cert-manager über alle Kubernetes-Cluster hinweg beobachten. Zudem liefere die SaaS-Lösung Berichte über Richtlinienverstöße und Fehlkonfigurationen.
Kurz: Venafis Portfolio hilft Unternehmen, ihre Maschinenidentitäten in einem sauberen Zustand zu bewahren, selbst wenn der Einsatz von Kubernetes das Tempo des Zertifikat-Managements vom Waschgang zum Schleudergang steigert. Offenbar weiß Venafi, was Ops-Teams wünschen.
- Die Waschmaschine Ihres Vertrauens
- Maschinenidentitäten gewinnen an Bedeutung
Lesen Sie mehr zum Thema
