Es gibt laut CyberArk 40-mal so viele maschinelle Identitäten wie menschliche - Tendenz durch Container und Kubernetes steigend. Allerdings müssen beide gesichert werden. Mit der Übernahme von Venafi will CyberArk das künftig in einer Plattform anbieten. Dazu sollen Lifecycle Management, private PKI, IoT-Identitätsmanagement und kryptografische Code-Signierung von Venafi mit CyberArks Secrets Management verbunden werden.

Bisher war Venafi im Besitz des Investors Thoma Bravo. Für 1,54 Milliarden Dollar geht die Technologie nun an Cyberark. Der Käufer bezahlt dabei rund 1 Milliarde in bar und 540 Millionen im Gegenwert von Aktien. Sowohl das Board of Directors von CyberArk als auch das von Venafi haben der Transaktion bereits zugestimmt. Sie soll in der zweiten Jahreshälfte 2024 abgeschlossen werden.

Venafi bringt in die Ehe mit CyberArk wiederkehrende jährliche Einnahmen von rund 150 Millionen Dollar ein. Rund 95 Prozent des Venafi-Umsatzes sind bereits wiederkehrende Umsätze aus SaaS- und langfristigen Lizenzgeschäften. Venafi steht auch hinter VCert CLI, einem Apache 2.0 Open-Source-Projekt, das auf dem VCert SDK für Golang-Projekt basiert und hatte im Herst 2023 Long Term Support für den cert-manager zugesagt.

"Die digitale Transformation und die fortschreitende Cloud-Migration haben zu einem exponentiellen Anstieg der Anzahl von Maschinenidentitäten wie Workloads, Code, Anwendungen, IoT-Geräten und Containern geführt", teilt CyberArk mit. "Die Zahl der Maschinen wächst deutlich schneller als die ihrer menschlichen Pendants, wobei auf jede menschliche Identität mehr als 40 Maschinenidentitäten kommen. Ungeschützt sind sie ein lukratives Jagdrevier für Cyberkriminelle. Diese Maschinenidentitäten müssen erkannt, verwaltet, gesichert und automatisiert werden, um ihre Verbindungen und Kommunikation sicher zu halten."

Verwaltung von Maschinenidentitäten wird komplexer

"Unternehmen stehen heute vor beispiellosen Herausforderungen, wenn es um die Navigation und Verwaltung von Maschinenidentitäten geht", sagte Shivajee Samdarshi, Chief Product Officer von Venafi anlässlich des "Venafi Machine Identity Management Summit" im September 2023 in Las Vegas. Dort stellte das Unternehmen unter anderem seine Control Plane als "As-a-Service"-Angebot und mit Dev Central einen einfachen Zugang zu Venafis REST APIs, Benutzerhandbüchern, Beispielen und Dokumentationen für Entwickler vor. Außerdem wurde das Angebot um nativen Support für Public Clouds durch "Venafi Firefly", einen Service zum Ausstellen von Maschinenidentitäten ergänzt. Venafi präsentierte das als Alternative zur JWT-basierten Authentifizierung sowie Zertifikaten auf Basis von OpenID Connect (OIDC).

Durch die Verkürzung der Zertifikatslebenszyklen durch Google (von 398 auf 90 Tage) wird die Verwaltung von Maschinenidentitäten künftig komplexer. Auch als Microsoft den Support für alte TLS-Versionen einstellte, spürten Unternehmen, was eine ordentliche Verwaltung von Maschinenidentitäten einschließlich der TLS-Zertifikate wert ist.

Auch als Angreifer vor gut einem Jahr Code-Signing-Zertifikate des Antivirenherstellers Emsisoft missbrauchten, ließ das weltweit aufhorchen. "Es ist für Security-Abteilungen schwieriger denn je, Entscheidungen darüber zu treffen, was als vertrauenswürdig eingestuft werden kann und was nicht - insbesondere angesichts der Geschwindigkeit von Software-Development-Umgebungen", sagte damals Kevin Bocek, VP Ecosystem & Community bei Venafi. "Da die Anzahl der Maschinenidentitäten in einem Unternehmen exponentiell ansteigt, benötigen sie eine Steuerungsebene, um die Verwaltung der Maschinenidentitäten zu automatisieren. "

Laut Forrester "haben Unternehmen in der Vergangenheit weniger Interesse an der Verwaltung von Maschinenidentitäten im Vergleich zu menschlichen Identitäten gezeigt, teilweise weil Maschinenidentitäten andere Anforderungen und kompliziertere Lebenszyklusherausforderungen mit sich bringen." Allerdings habe das exponentielle Wachstum von Maschinenidentitäten, sowohl für Geräte als auch für Cloud-Workloads, die Aufmerksamkeit auf eine Verbesserung des Maschinenidentitätsmanagements gelenkt, um die Risiken zu verringern, die sich aus dieser erweiterten Bedrohungsoberfläche ergeben.