Key Rotation: Regelmäßiger Austausch von Credentials

ERKLÄRUNG

Einfach erklärt

Key Rotation tauscht Credentials regelmäßig aus – begrenzt Schaden bei Leaks.

Ohne Rotation:
Key geleakt 2023 → Angreifer hat Zugang bis entdeckt (Monate?)

Mit Rotation (90 Tage):
Key geleakt → Spätestens nach 90 Tagen ungültig

Technischer Deep Dive

AWS Secrets Manager Rotation

# Automatische Rotation konfigurieren
aws secretsmanager rotate-secret \
    --secret-id MyDatabaseSecret \
    --rotation-lambda-arn arn:aws:lambda:...:function:SecretsRotation \
    --rotation-rules AutomaticallyAfterDays=30

Zero-Downtime Rotation

1. Neuen Key generieren
2. Beide Keys parallel gültig
3. Anwendungen auf neuen Key umstellen
4. Alten Key deaktivieren

ANALOGIE

Key Rotation ist wie regelmäßiges Schlösser-Wechseln: Selbst wenn jemand einen alten Schlüssel hat, funktioniert er nach der Rotation nicht mehr.

WICHTIGSTE PUNKTE

Regelmäßiger Austausch (z.B. alle 90 Tage)

Automatisiert, nicht manuell

Alte Keys sofort invalidieren

ANWENDUNGSFÄLLE

API Keys

Regelmäßig neue Keys generieren

Datenbank-Passwörter

Automatische Rotation mit Vault

TLS-Zertifikate

Vor Ablauf erneuern

HÄUFIGE FRAGEN

Wie oft rotieren?

Abhängig von Risiko. API Keys: 90 Tage. Hochsensible: 30 Tage. Zertifikate: vor Ablauf. Nach Incidents: sofort.

Wie ohne Downtime?

Overlap-Periode: Neuer Key aktiv, alter noch gültig. Dann alter Key deaktivieren.

VERWANDTE BEGRIFFE

Sicherheit DevOps

Secrets Management

Die sichere Speicherung und Verwaltung von sensiblen Daten wie API-Keys, Passwörtern und Zertifikaten – nie im Code, immer verschlüsselt.

Sicherheit DevOps

IAM (Identity and Access Management)

Das Framework zur Verwaltung digitaler Identitäten und deren Zugriffsrechte – wer darf was in welchem System tun.