Automatisierung der Verwaltung von Maschinen-Zugangsdaten

Das Zentrum für IT-Dienstleistungen der Hochschulen in Rheinland-Pfalz (ZIT RLP), mit Sitz in Koblenz, Deutschland, ist maßgeblich an der Implementierung, dem Betrieb und der Unterstützung zentraler Anwendungen für sieben Hochschulen in der Region beteiligt. Zu den Kernaktivitäten gehören die Beratung in der IT-Planung, die Koordination der Softwareeinführung mit Schwerpunkt auf Campus-Management sowie die Gewährleistung von Datenschutz und IT-Sicherheit. Das ZIT RLP spielt eine entscheidende Rolle bei der Wahrung der Sicherheit der digitalen Infrastruktur, hauptsächlich im Bereich von Linux-Systemen, Windows-Bereitstellung und Managementsystemen für Hochschulen. Das ZIT RLP betreibt rund 450 virtuelle Maschinen (VMs). Die betreuten Hochschulen haben insgesamt etwa 40.000 Studierende, die im Laufe ihres Studiums die von ZIT RLP bereitgestellten Campus-Management-Systeme nutzen, wobei jede Hochschule ihre eigene Instanz des Systems hat.

Vor dem Wechsel zu Passbolt nutzte das ZIT RLP das cloud-basierte 1Password. Es suchte nach einer Alternative, die eine nahtlose Verwaltung und das Teilen von Maschinen-Zugangsdaten (Machine Credentials), auch als Secrets bekannt, unter Teammitgliedern ermöglicht. Die meisten verwalteten Anmeldedaten sind klassische Benutzer/Passwort-Kombinationen, ergänzt durch einige API-Tokens und wenige GPG-Schlüssel, während SSH-Private-Keys sicher auf Hardware-Tokens gespeichert werden, was von einer vielfältigen Palette von Anmeldedaten zeugt. Der Hauptanwendungsfall besteht darin, ein neues Secret hinzuzufügen und es dann mit einem Kollegen zu teilen oder Kollegen um Maschinen-Zugangsdaten anzufragen.

Darüber hinaus stellte 1Password als nicht-europäisches Unternehmen und dessen Betrieb außerhalb der Europäischen Union aufgrund von Datenschutzbedenken eine Herausforderung dar. Die Anforderungen des ZIT RLP umfassten auch die Bereitstellung vor Ort und offenen Quellcode, um die volle Kontrolle über Daten und System zu haben, auch für schnelle Patches oder Anpassungen. Außerdem wünschten sich dessen Mitarbeiter API-Funktionalität zur Automatisierung von Infrastruktur-Operationen und eine schlanke Lösung zur effektiven Verwaltung von Maschinen-Zugangsdaten.

Passbolt stellte sich der sorgfältigen Prüfung des ZIT RLP, einem Team von IT-Experten, und erfüllte deren hohe Standards für die kollaborative Verwaltung von Secrets. Die Kollaborationsfunktionen verhielten sich wie beworben und waren der Hauptgrund für die Wahl von Passbolt. Die Benutzerfreundlichkeit für technisch versierte Nutzer, einschließlich des Zugriffs über die Kommandozeile (CLI), war ein weiterer wichtiger Faktor für die Entscheidung für Passbolt.

Das ZIT RLP entschied sich für das kommerzielle Angebot von Passbolt aufgrund zusätzlicher Funktionen. Es hostet Passbolt auf seiner eigenen Linux-basierten Infrastruktur, die über bereitgestellte Dienste, Betriebs- und Wartungsfunktionen wie Datenbanken, Backups und Disaster Recovery verfügt. Passbolt fügte sich sehr gut ein und war einfach zu installieren. Der manuelle Migrationsprozess von 1Password zu Passbolt umfasste zunächst die Übertragung von 200 Anmeldedaten. Einmal bei Passbolt, wuchs die Gesamtzahl der eindeutigen Secrets schnell auf etwa 600, was die Leichtigkeit zeigt, mit der das ZIT RLP neue Anmeldedaten mit Passbolt verwalten und hinzufügen konnten.

Mit zwei Teams, bestehend aus insgesamt 12 Benutzern, nutzt es Passbolt nun seit einem Jahr aktiv. Trotz des Zugangs zum professionellen Support von Passbolt konnte das ZIT RLP dank seiner technischen Kompetenz alles eigenständig regeln, ohne den Support in Anspruch nehmen zu müssen.

Angesichts der erfolgreichen Implementierung und der nachgewiesenen Wirksamkeit von Passbolt plant das ZIT RLP, die API für die Automatisierung mit Puppet zu nutzen.

Die Einführung von Passbolt hat die kollaborative Verwaltung von Secrets bei dem ZIT RLP erheblich rationalisiert. Während Passbolt für die Endnutzer der vom ZIT RLP bereitgestellten Infrastruktur unsichtbar bleibt, hat es als Helfer bei regelmäßigen Updates erheblich zur stetigen Software-Betriebszeit und -Aktualität beigetragen, was wiederum zu hohen Zufriedenheitswerten bei IT-Fachleuten und Entscheidungsträgern innerhalb des ZIT RLP geführt hat, die die Zuverlässigkeit von Passbolt loben.

Die benutzerfreundliche Natur von Passbolt und seine API-Funktionalität haben zu zeitsparender und effizienter Verwaltung von Maschinen-Zugangsdaten geführt. Die Passwort-Kollaborationsfunktionen, ein zentraler Grund für die Wahl von Passbolt, haben sich in der Praxis als effektiv erwiesen.