Blog home
Okta

Optimale Okta-Sicherheit mit Terraform und Mondoo

Scott Ford
July 27, 2023
8 Minuten Lesezeit

Unternehmen verlassen sich zunehmend auf Cloud-basierte Dienste wie Okta, um ihre Identitäten und Zugriffskontrollen zu verwalten. Diese Umstellung bietet zwar robuste Funktionen zur Verwaltung des Benutzerzugriffs und der Authentifizierung über verschiedene Technologien hinweg, bringt aber auch die Herausforderungen des Modells der gemeinsamen Verantwortung mit sich, das von öffentlichen Cloud-Diensten wie AWS, Microsoft Azure und Google Cloud eingeführt wurde. Infolgedessen wird die Gewährleistung der Sicherheit dieser Systeme nicht nur entscheidend, sondern auch komplex.

In diesem Artikel wird untersucht, wie Unternehmen ihre Okta-Sicherheit mithilfe von zwei leistungsstarken Methoden verbessern können: Infrastructure as Code (IaC) und Policy as Code (PaC).

Infrastruktur als Code verstehen

Infrastructure as Code ist eine Praxis, die es Unternehmen ermöglicht, Infrastrukturressourcen deklarativ mithilfe von Code zu definieren und zu verwalten. Anstatt Infrastrukturkomponenten manuell zu konfigurieren, ermöglicht IaC es Unternehmen, die Bereitstellung und Verwaltung von Ressourcen zu automatisieren. Durch die Einführung von IaC-Praktiken für Okta-Organisationen profitieren Unternehmen von mehreren Sicherheitsvorteilen:

  1. Konsistenz und Wiederholbarkeit: IaC gewährleistet die konsistente Anwendung der Infrastruktureinrichtung in allen Umgebungen und minimiert so Konfigurationsfehler, die zu Risiken führen können.
  2. Versionskontrolle und Prüfung: Das Speichern von Infrastrukturcode in Versionskontrollsystemen ermöglicht einen vollständigen Prüfpfad der Änderungen, was die Sicherheitsüberwachung verbessert und die Identifizierung potenzieller Sicherheitslücken erleichtert.
  3. Schnelle Notfallwiederherstellung: Im Falle einer Sicherheitsverletzung oder eines Infrastrukturausfalls ermöglicht IaC den schnellen und genauen Wiederaufbau der Okta-Umgebungen.

Wenn es um IaC-Werkzeuge geht, gibt es eine Vielzahl von Möglichkeiten. Welches IaC-Tool ausgewählt wird, hängt oft vom Anwendungsfall ab, und Meinungen fallen oft einem Glaubenskrieg zum Opfer. Davon abgesehen ist es schwierig zu diskutieren, welches IaC-Tool am weitesten verbreitet ist. Der klare Gewinner ist diesbezüglich HashiCorp Terraform.

Sicherung von Okta mit Terraform

Terraform Registry


HashiCorp Terraform, ein weltweit anerkanntes Open-Source-IaC-Framework, hostet ein Verzeichnis von Anbietern für verschiedene Cloud-Plattformen. Offizielle Cloud-Plattformen wie AWS, Microsoft Azure und Google Cloud, die von HashiCorp betrieben werden, verzeichnen zwar weiterhin die größte Akzeptanz, aber auch die Zahl der Partneranbieter für andere Technologien wie Datenmanagement, Netzwerke, Container-Orchestrierung und mehr ist gestiegen. Das Wachstum der Partneranbieter zeigt, dass Unternehmen den Wert der Entwicklung von IaC-Lösungen für ihre Kunden erkennen und dass Benutzer nach diesen Lösungen suchen, um eine breitere Palette von Technologien zu automatisieren.

Das Okta-Anbieter, das von Okta entwickelt und gewartet wird, bietet Ressourcen für die Konfiguration von Okta, die Anwendung der empfohlenen Sicherheitskonfigurationen und die Verkürzung der Onboarding-Zeit für neue Anwendungen. Seit seiner Veröffentlichung im Jahr 2019 hat der Okta-Anbieter stetig an Akzeptanz gewonnen und fast 20 Millionen Downloads verzeichnet.

Die vom Okta-Anbieter bereitgestellten Ressourcen decken die meisten Konfigurationen für eine Okta-Organisation ab, von denen sich viele direkt auf die Sicherheitslage von Okta auswirken. Diese Ressourcen tragen wesentlich dazu bei, dass die geschäftskritische Infrastruktur sicher konfiguriert wird, aber reicht die Einführung von IaC aus, um die Sicherheit zu gewährleisten?

Reichen IAC-Sicherheitstests aus?

Die Durchführung von Sicherheitstests gegen IaC-Code ist kein neues Konzept. Es gibt verschiedene Tools auf dem Markt, von denen viele Open Source sind. Sie wurden speziell dafür entwickelt, IaC auf Sicherheitsfehlkonfigurationen zu überprüfen. Diese Tools helfen Teams dabei, die Sicherheit nach links zu verlagern, um Fehlkonfigurationen zu erkennen, die Unternehmen gefährden, bevor sie in Laufzeitumgebungen eingesetzt werden. Die Teams, die diese Tools am häufigsten implementieren, sind nicht immer die Sicherheitsteams, sondern die Infrastrukturingenieure, Plattformingenieure und DevOps-Teams, die mit der Automatisierung von Umgebungen beauftragt sind. Das Testen von IaC auf Sicherheitsprobleme ist ein gutes Muster, das übernommen werden sollte, aber geht es weit genug?

Es ist leicht, sich zu sehr auf IaC als Quelle der Wahrheit darüber zu verlassen, welche Infrastruktur läuft und wie diese Infrastruktur konfiguriert ist. Die Herausforderung bei IAC-Scannern besteht darin, dass sie so konzipiert sind, dass sie nur den Code testen und nicht die Infrastruktur ausführen. Diese Lücke hat tiefgreifende Auswirkungen auf die Sicherheitsteams, die für die Sicherheit der Umgebungen verantwortlich sind, sowie auf die Teams für Plattformtechnik, DevOps und SRE, die für deren Verwaltung verantwortlich sind. IaC-Tests sind zwar wichtig, um Probleme vor ihrer Bereitstellung zu finden, aber Unternehmen müssen Laufzeitumgebungen kontinuierlich auf Fehlkonfigurationen und Sicherheitslücken scannen.

Was passiert, wenn Unternehmen eine Lösung für SaaS-Sicherheit und eine andere für IAC-Sicherheit kaufen. Diese Lösungen sind nicht dafür konzipiert, zu funktionieren. Änderungen an den Laufzeitprüfungen werden nicht ohne menschliches Eingreifen an das IAC-Scannen weitergegeben. Diese Lücke führt zu einer Fehlausrichtung, was zu noch mehr Störungen führt und zu Spannungen zwischen Sicherheits- und Entwicklungsteams führt. Das Ergebnis sind höhere Betriebskosten, mehr Reibungsverluste bei der Innovation und eine geringere Arbeitsmoral.

Um die Herausforderung, einen durchgängigen Workflow zu erstellen, der sowohl die Anforderungen der Sicherheits- als auch der Entwicklungsteams erfüllt, wirklich bewältigen zu können, benötigen Sie eine Lösung, die sowohl für Entwicklungs- als auch für Laufzeitdomänen geeignet ist.

Nutzung von Richtlinien als Code für SaaS-Technologie

Policy as Code (PaC) ermöglicht es Unternehmen, bewährte Sicherheitsmethoden und Unternehmensrichtlinien als ausführbaren Code zu definieren und zu kodifizieren. Die Integration von PaC in den Software Development Lifecycle (SDLC) bietet zahlreiche Vorteile:

  1. Automatisierte Durchsetzung von Richtlinien: Mit PaC können Unternehmen die Durchsetzung von Sicherheitsrichtlinien in ihren Okta-Umgebungen automatisieren und so das Risiko menschlicher Fehler reduzieren.
  2. Kontinuierliche Compliance-Überwachung: Die Integration von PaC in den Arbeitsablauf ermöglicht eine kontinuierliche Überwachung der Einhaltung der Vorschriften. Es können Richtlinien definiert werden, um die Einhaltung von Branchenvorschriften, internen Sicherheitsstandards und Best Practices zu überprüfen. So können Sicherheitslücken proaktiv identifiziert und gemindert werden.
  3. Verbesserte Zusammenarbeit und Rechenschaftspflicht: PaC fördert die Zusammenarbeit zwischen Sicherheitsteams, Entwicklern und anderen Interessengruppen. Es ermöglicht transparente Diskussionen über Richtlinien und erleichtert die Rechenschaftspflicht, indem Änderungen der Richtlinien im Laufe der Zeit verfolgt werden.

Die kombinierte Leistung von IaC und PaC:

Die Kombination von IaC- und PaC-Praktiken schafft einen robusten Sicherheitsrahmen. So ergänzen sich diese Methoden:

  1. Automatisierte Durchsetzung von Richtlinien: Der Infrastrukturcode kann mit PaC-Regeln erweitert werden, um Sicherheitsrichtlinien bei der Bereitstellung und Verwaltung von Okta-Ressourcen automatisch durchzusetzen.
  2. Testen und Validieren von Richtlinien: IaC-Tools können Funktionen zum Testen von Richtlinien enthalten, um sicherzustellen, dass Sicherheitsrichtlinien vom Build bis zur Veröffentlichung implementiert und funktionsfähig sind.
  3. Konformität als Code: Unternehmen können Compliance-Anforderungen als Code definieren und sie in ihre IaC- und PaC-Praktiken integrieren. Dieser Ansatz reduziert das Risiko von Konfigurationsabweichungen und verbessert die allgemeine Sicherheitslage.

Mondoo stand von Anfang an an der Spitze der PaC-Bewegung. Die Technologie von Mondoo unterstützt das Scannen von IaC auf Sicherheitsprobleme und unterstützt zusätzlich das Scannen verschiedener Laufzeitumgebungen, darunter öffentliche und private Clouds, Kubernetes, Container, Server und Endpunkte, SaaS, IoT und sogar Netzwerkgeräte. Diese unübertroffene Fähigkeit ermöglicht es Teams, die Praktiken von Mondoo Policy as Code in einem IaC-Workflow von der Entwicklung bis zur Laufzeit zu implementieren.

Aufbau durchgängiger sicherer Workflows für Okta

Okta Help Center

Die Sicherung der Infrastruktur sollte mit der Anwendung der empfohlenen sicheren Konfigurationen beginnen. Oktas Gesundheitseinblick prüft die Sicherheitseinstellungen einer Organisation und schlägt Aufgaben vor, die die Sicherheitslage verbessern. Jede neue Okta-Organisation stellt das HealthInsight-Dashboard bereit, um zu zeigen, welche Empfehlungen erfolgreich umgesetzt wurden und welche noch ausstehen.

Mondoo Console - Okta Organization Security

Mondoo Platform wird standardmäßig mit der Sicherheitsrichtlinie der Okta Organization geliefert, die alle HealthInsight-Empfehlungen abdeckt. Die Mondoo-Plattform macht es einfach, Ihre Okta-Organisation zu integrieren, um ein kontinuierliches Sicherheitsmanagement anhand der Okta HealthInsight-Prüfungen zu gewährleisten. Was die Richtlinie von Mondoo gegenüber dem Okta-Dashboard einzigartig macht, ist, dass sie sowohl das Runtime-Scannen von Okta als auch das Scannen von Terraform-Code unterstützt, der den Okta-Anbieter für Terraform nutzt. Die Richtlinien von Mondoo gehen sogar noch weiter und umfassen alle definierten Phasen eines Terraform-Laufs, einschließlich der Phase vor, nach der Planung und der Phase nach der Bewerbung. Jede Phase bietet die Möglichkeit, Maßnahmen zu ergreifen, falls der Sicherheitsscan nicht Ihren Sicherheitsanforderungen entspricht.

okta provisioning

Die Richtlinien von Mondoo sind leicht anpassbar. Die Prüfungen können deaktiviert werden, wenn sie für Ihre Umgebung nicht erforderlich sind. Die Standardwerte für Prüfungen, wie die Anzahl der zulässigen Superadmins in Okta oder die Mindestlänge von Passwörtern, können leicht außer Kraft gesetzt werden, um Ihren Bedürfnissen gerecht zu werden. Änderungen an den Richtlinien werden während des Veröffentlichungsprozesses sofort wirksam und wirken sich sowohl auf Laufzeitprüfungen als auch auf Terraform-IAC-Prüfungen aus. Dadurch wird eine Fehlausrichtung aufgrund inkonsistenter Daten zwischen Teams vermieden, die in der Entwicklung und während der Laufzeit unterschiedliche Tools für Sicherheitsscans verwenden.

Mondoo policies integrate into CI/CD platforms

Die Richtlinien von Mondoo können problemlos in jede CI/CD-Plattform integriert werden. Die Ergebnisse von CI/CD-Scans erscheinen in der Pipeline und werden an die Mondoo-Plattform zurückgegeben. So erhalten Entwickler die Daten, die sie benötigen, um sicherzustellen, dass sie die Sicherheitsprüfungen bestehen, und die Sicherheitsteams die Daten, die sie benötigen, um sicherzustellen, dass alle Änderungen die erforderlichen Sicherheitsprüfungen durchführen.

okta healthinsights

Das Endergebnis der gemeinsamen Implementierung von Mondoo und Terraform ist, dass Ihre Okta-Organisation mithilfe eines automatisierten Workflows mit allen Sicherheitsempfehlungen von Healthinsight konfiguriert wird. Alle Änderungen an IaC werden geprüft, um sicherzustellen, dass Ihre Okta-Organisation die Richtlinien einhält.

Ensure Okta organization are compliant with policy

Find and fix the security risks that pose the biggest threat to your business.

Get started

Fazit

Da Datenschutzverletzungen und Sicherheitsvorfälle weiterhin erhebliche Risiken darstellen, müssen Unternehmen ihre Okta-Organisationen proaktiv schützen. Infrastructure as Code und Policy as Code bieten ein bewährtes Muster, um die Sicherheit zu erhöhen, Compliance-Prüfungen zu automatisieren (einschließlich der Erfassung von Nachweisen für Auditoren, auf die wir in einem zukünftigen Blogbeitrag näher eingehen werden) und einen klaren Prüfpfad für Änderungen zu führen.

Mondoo bietet umfassende Richtlinien für Okta, die von der Entwicklung über die Veröffentlichung bis hin zur Produktion reibungslos funktionieren. Durch die Anwendung dieser Methoden können Unternehmen ihre Okta-Umgebungen vor potenziellen Bedrohungen schützen und wichtige Geschäftsdaten schützen.

Beginnen Sie noch heute mit Ihrer Sicherheitstransformation

Sie haben gesehen, welche Vorteile die Kombination von Infrastructure as Code und Policy as Code hat. Sie wissen, wie Mondoo und Terraform Ihre Okta-Sicherheit auf ein neues Niveau heben können. Jetzt ist es an der Zeit, diesen Schritt nach vorne zu machen.

Unser Expertenteam hilft Ihnen gerne dabei, diesen Weg zu beschreiten und sicherzustellen, dass Ihr Sicherheitsworkflow reibungslos und robust ist. Sie müssen dies nicht alleine tun. Wir beraten Sie gerne und passen Lösungen an Ihre individuellen Bedürfnisse an.

Warum also warten? Ihre sichere Zukunft beginnt jetzt. Wir können es kaum erwarten, uns mit Ihnen auf diese spannende Reise zu begeben!

Scott Ford

Scott Ford ist DevOps-Praktiker. In seiner aktuellen Position als Principal Architect bei Mondoo konzentriert er sich darauf, Unternehmen bei der Automatisierung der Sicherheit zu unterstützen, ohne die Innovation zu beeinträchtigen. Bevor er zu Mondoo kam, hatte Scott Positionen als Principal Architect von Lacework und Distinguished Architect bei Chef Software inne und half Unternehmen auf der ganzen Welt dabei, die Art und Weise, wie sie ihre Produkte entwickeln, durch Zusammenarbeit und Automatisierung zu verändern.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.