Mehr als Passwörter: Wie Cloutomate Secret Management und Zugriffskontrolle verbindet

Secrets sind das Schmieröl moderner IT und gleichzeitig das, was einem im Incident-Report um die Ohren fliegen kann: Passwörter, Zertifikate, API-Keys, Tokens. Überall vorhanden. Selten sauber geregelt.

In vielen Umgebungen sieht es so aus: Jeder Bereich, manchmal sogar jeder Admin, hat sein System. Ein paar Einträge in Tools, ein paar in der Datenbank, ein paar lokal, und irgendwo liegt vielleicht auch noch eine KeePass-Datei. Ergebnis: schwer kontrollierbar, schlecht automatisierbar, und ein großes Risiko für die Sicherheit.

Ein internationaler Kunde wollte genau damit Schluss machen und gleichzeitig die Vorteile seiner bestehenden Zugriffskontrollarchitektur weiter ausbauen.

Die Aufgabe war damit für uns, Serverzugriff und Secret Management in einer Plattform zusammenführen.

Ausgangslage: Verteilte Secrets, getrennte Systeme

Privilegierte Serverzugriffe liefen bereits sauber über Okta PAM. Die Herausforderung, die es noch zu lösen galt, war eine andere: Passwörter und andere Secrets – vor allem für Systeme ohne Active-Directory-Anbindung – lagen separat in einer KeePass-Datenbank.

Diese Arbeitsweise brachte ein paar Probleme mit sich:

  • Kein zentrales Zugriffs- und Berechtigungsmodell für Secrets (wer darf was und warum?)
  • Keine automatisierte Passwortrotation (und damit Passwortwechsel als Kalender-Reminder 😬)
  • Keine Integration in Cloud-Deployments oder Datenbankserver
  • Sicherheitsrisiko durch dezentrale Speicherung

Ziel war nicht noch ein Tool, sondern ein Framework, das hochverfügbar, erweiterbar und vor allem durchgängig ist: ein Regelwerk für Zugriffe.

Die Herausforderung: Sicherheit trifft Automatisierung

Secret Management ist kein Passwort-Tresor mit schöner UI. In modernen Infrastrukturen muss es vor allem drei Dinge können:

  • Rotation von Passwörtern und API-Keys in festen Intervallen
  • Automatisierte Bereitstellung für Deployments, z. B. Kubernetes oder für Webserver
  • Integration in bestehende Zugriffskontrollmechanismen, statt ein Paralleluniversum zu schaffen

KeePass konnte das nicht liefern. Und eine zusätzliche Secret-Plattform hätte genau das erzeugt, was vermieden werden sollte: ein neues Silo zwischen „Serverzugriff“ und Secret Management.

Die Lösung: Okta PAM und HashiCorp Vault – verbunden durch Eigenentwicklung

Wir haben die Stärken etablierter Lösungen kombiniert:

  1. Okta PAM als zentraler, hochverfügbarer Speicherort für Secrets
  2. HashiCorp Vault für Rotation und automatisierte Bereitstellung, etwa in Kubernetes, Datenbanken oder Webservern.
  3. Ein eigenes Plugin, das beide Systeme per API verbindet

Diese Integration gab es vorher nicht. Unser Plugin sorgt dafür, dass Vault Passwörter und andere Secrets nicht selbst dauerhaft speichert, sondern sie in Okta PAM ablegt. Damit bekommt der Kunde das Beste aus beiden Welten. Denn Vault liefert Automatisierung und Rotation und Okta PAM stellt die Secrets unter das bestehende Benutzer- und Berechtigungsmodell.

Was das bringt?

  • Einheitliche Rechteverwaltung: Serverzugriffe und Secrets nutzen dieselbe Benutzerbasis und Zugriffskontrolle.
  • Mehr Sicherheit: Hochverfügbare Speicherung in Okta PAM, lückenlose Protokollierung, keine doppelte Datenhaltung.
  • Weniger Handarbeit: Rotation und Bereitstellung sind automatisiert – kein „Wer hat zuletzt geändert?“ mehr.
  • Weniger Lizenzdruck: keine Notwendigkeit, Vault als teure Enterprise-Speicherlösung zu nutzen, weil die Ablage über Okta PAM läuft.

Unterm Strich bedeutet das für Administratoren weniger Toolwechsel, für Security-Verantwortliche weniger Grauzonen und für das Unternehmen insgesamt eine höhere Sicherheit bei gleichzeitig geringerer Komplexität.