Cloud-native technologie leidt tot razendsnelle groei van hoeveelheid machine-identiteiten

Binnen een IT-landschap spelen machine-identiteiten en het beheer daarvan een steeds grotere rol. Niet verrassend, want de hoeveelheid machine-identiteiten stijgt in een hoog tempo. Zo bleek uit eerder onderzoek van Venafi al dat het aantal machine-identiteiten binnen organisaties met gemiddeld 42% op jaarbasis groeit. Kevin Bocek, Vice President, Security Strategy & Threat Intelligence bij Venafi, legt tijdens een interview op KubeCon + CloudNativeCon Europe in Amsterdam de impact uit van het groeiende gebruik van Kubernetes en cloud-native technologie op het aantal machine-identiteiten.

Een cloud-native applicatie kent al snel tientallen identiteiten

Een machine-identiteit omschrijft de identiteit van een machine. Deze zijn in allerlei vormen en maten beschikbaar. Zo kan een machine een softwareapplicatie zijn, ongeacht of deze in een eigen IT-omgeving of de cloud draait. Denk echter ook aan een blockchain of een slim contract. Een machine is in feite alles wat input krijgt en output geeft.

Cloud-native versnelt de groei van het aantal machine-identiteiten. Zo is een cloud-native applicatie in veel gevallen opgebouwd uit diverse microservices, die vaak zijn ondergebracht in containers. Het aantal machine-identiteiten verbonden aan een cloud-native applicatie is fors. Zo kent bij een cloud-native applicatie niet alleen de machine waarop deze draait en het besturingssysteem op deze machine een eigen machine-identiteit, maar ook iedere individuele container en het cluster waarin deze containers draaien. Aan een enkele cloud-native applicatie zijn dan ook al snel tientallen machine-identiteiten verbonden. Deze identiteiten zijn van cruciaal belang. Zo wil je weten welke containers in het cluster thuishoren en met welke container je veilig kunt communiceren.

Frictie

"Hoewel security-teams verantwoordelijk zijn voor het beheren van het groeiend aantal machine-identiteiten, zijn zij niet betrokken bij de besluitvorming rondom deze identiteiten. Deze besluitvorming is iets wat vooral bij het DevOps- en platformteam ligt”, zegt Bocek. Deze tweedeling leidt in de praktijk tot frictie tussen de verschillende teams en brengt risico's met zich mee. Deze risico's kunnen aanzienlijk zijn. Bocek legt uit: "Zo kan een aanvaller in het ergste geval geauthenticeerde toegang verkrijgen tot je cloudomgeving. Voor een aanvaller biedt deze toegang grote voordelen, onder meer om persistent toegang tot een omgeving te krijgen of transacties te kunnen uitvoeren."

Bocek is in het verleden zelf als software engineer actief geweest en kan zich dan ook goed verplaatsen in de prioriteiten en denkwijze van veel engineers. "Software engineers staan onder druk om in korte tijd nieuwe functionaliteiten op te leveren. Zij kunnen hierdoor onbedoeld fouten maken bij het configureren en beheren van certificaten, wat verstrekkende gevolgen kan hebben", zegt Bocek. "Het gaat daarbij niet alleen om gevolgen met betrekking tot security, maar zeker ook met het oog op de betrouwbaarheid van de cloud-native applicatie. Indien een machine-identiteit niet juist is geconfigureerd of - erger nog - is verlopen, kunnen machines niet langer met elkaar praten. Door de toenemende digitalisering van veel bedrijven kan de impact groot zijn en de business zelfs tot stilstand komen."

Zicht op alle gebruikte certificaten

JetStack, onderdeel van Venafi, ontwikkelde eerder al cert-manager. Deze tool helpt ontwikkelaars in belangrijke mate met het beheren van certificaten waarmee de identiteit van machines kan worden geverifieerd. Een adequaat zicht op deze certificaten voor het security-teams ontbreekt echter vaak. Met TLS Protect for Kubernetes schiet Venafi security-teams te hulp. “TLS Protect for Kubernetes geeft security-teams uitgebreid zicht op certificaten die ontwikkelaars en het platform-team uitrollen. Zij kunnen niet alleen in een oogopslag zien welke certificaten in gebruik zijn, maar ook waar. Zelfs als microservices en containers verspreid over meerdere clusters zijn uitgerold”, licht Bocek toe. “Belangrijk is ook dat security-teams het beleid rond certificaten dat zij al langer toepassen in hun datacenters, nu ook kunnen afdwingen in Kubernetes.”

De voordelen zijn groot. Bocek: “Security-teams beschikken dankzij deze oplossing over het inzicht dat zij nodig hebben om zeker te stellen en aan te tonen dat cloud-native applicaties veilig zijn en aan het securitybeleid voldoen, terwijl ontwikkelaars zich volledig kunnen richten op hun kerntaak: het ontwikkelen van software. Zij hoeven hun vertrouwde werkwijze niet aan te passen.”

Identiteiten volgens beleid uitrollen op iedere locatie

Daarnaast introduceerde Venafi recentelijk Firefly, een oplossing die voor developers de complexiteit wegneemt bij het uitrollen van identiteiten volgens het beleid dat hun organisatie hiervoor hanteert. “Venafi Firefly geeft machine-identiteiten uit voor iedere locatie waar developers deze nodig hebben, en beperkt zich hierbij niet tot Kubernetes. Het integreert met cert-manager voor het leveren van machine-identiteiten in Kubernetes-clusters, maar kan ook identiteiten verstrekken voor je service mesh of Amazon Web Services-, Google Cloud- of Azure-omgeving.”

In het verleden maakten veel ontwikkelaars gebruik van een secret manager of vault voor het beheren van machine-identiteiten, of vielen terug op Certificate Authorities. Deze variatie brengt risico’s met zich mee. Venafi Firefly maakt een uniforme werkwijze mogelijk voor het beheer van machine-identiteiten in iedere omgeving, ongeacht of deze on-premises of in de cloud draait.

Venafi Firefly is niet alleen relevant voor ontwikkelaars, maar biedt - net als TLS Protect for Kubernetes - belangrijke voordelen voor security-teams. Zo geeft de oplossing hen zicht op alle certificaten die binnen hun organisatie gebruikt worden, en kunnen zij zeker stellen dat deze aan het securitybeleid voldoen.

De naam Firefly verwijst naar de vuurvlieg, die slechts een kort leven is beschoren. Dat geldt ook voor de certificaten die Venafi Firefly uitgeeft; deze zijn slechts korte tijd geldig, waarna de oplossing deze automatisch vernieuwt. Dit zonder dat het security- of ontwikkelteam hiernaar omkijken heeft. “Zelfs als een aanvaller onverhoopt toch weet binnen te dringen, is deze toegang hierdoor slechts van korte duur.”

Nederlandse en Belgische markt ontwikkelt zich snel

Venafi ziet de Nederlandse en Belgische markt snel ontwikkelen. “Enkele jaren geleden bestond ons klantenbestand in Nederland en België met name uit financiële dienstverleners. Dat is vandaag de dag zeker niet meer het geval; een breed scala aan bedrijven vertrouwt op onze technologie voor het beheren van machine-identiteiten. Denk hierbij aan retailers en telecomproviders”, legt Bocek uit. “De interesse in machine-identiteiten groeit merkbaar en speelt een steeds grotere rol bij cloud-native projecten die bedrijven uitvoeren.”