1Password Self Hosted: Der ultimative Leitfaden zur Secrets Automation

Während Unternehmen zunehmend auf Cloud-Services und API-Integrationen setzen, wird die sichere Verwaltung sensibler Daten zu einer kritischen Herausforderung. Die 1Password Self-Hosted Lösung adressiert genau diese Anforderung mit einem robusten System zur Automatisierung von Geheimnissen.

Darüber hinaus bietet die Plattform fortschrittliche Sicherheitsfunktionen wie AES-256-Verschlüsselung und Multi-Faktor-Authentifizierung. Insbesondere die 1Password API ermöglicht eine nahtlose Integration in bestehende Infrastrukturen, während die Lösung sowohl für kleine Unternehmen als auch für große Konzerne skalierbar bleibt.

In diesem umfassenden Leitfaden erfahren Sie alles über die Einrichtung, Verwaltung und Optimierung von 1Password Self-Hosted, einschließlich praktischer Anleitungen zur Integration in Ihre bestehenden Systeme.

Was bedeutet 1Password Self-Hosted wirklich?

Die Bezeichnung "1Password Self-Hosted" führt oft zu Missverständnissen unter Nutzern. Tatsächlich geht es dabei nicht um die vollständige Selbsthosting-Option des gesamten Passwortmanagers, sondern primär um die Selbsthosting-Möglichkeit des Connect Servers für Secrets Automation.

Die Grundlagen der 1Password Architektur

1Password wurde als End-to-End-Verschlüsselungssystem (E2E) konzipiert, bei dem die Verschlüsselung und Entschlüsselung der Daten ausschließlich auf lokalen Geräten erfolgt. Die fundamentale Sicherheit basiert darauf, dass die Daten mit Schlüsseln verschlüsselt werden, die von persönlichen Geheimnissen abgeleitet sind und zu denen AgileBits keinen Zugang hat.

Der Sicherheitsansatz geht jedoch über die reine E2E-Verschlüsselung hinaus. Das Konto wird durch zwei Schutzebenen gesichert: ein Passwort, das nur dem Nutzer bekannt ist und nie gespeichert wird, sowie einen 128-Bit-verschlüsselten Secret Key. Diese Architektur bildet die Grundlage für alle 1Password-Dienste, einschließlich der Self-Hosted-Optionen.

Connect Server vs. Service Accounts

Für die Automatisierung von Secrets bietet 1Password zwei Hauptlösungen:

1. Connect Server: Ein selbst gehosteter Server innerhalb der eigenen Infrastruktur, der über eine private REST-API sicheren Zugriff auf 1Password-Elemente ermöglicht. Vorteile sind:

   • Vollständige Kontrolle durch Deployment in der eigenen Infrastruktur

   • Reduzierte Latenz und erhöhte Sicherheit

   • Keine Anfragenkontingente oder Ratenbegrenzungen

   • Möglichkeit zur Bereitstellung redundanter Server für höhere Verfügbarkeit

2. Service Accounts: Eine Alternative, die ohne zusätzliche Dienste auskommt und eine Authentifizierungsmethode für 1Password CLI bietet, die nicht an einzelne Personen gebunden ist. Service Accounts eignen sich besonders für:

   • Gemeinsam genutzte Umgebungen

   • Automatisierte Bereitstellung von Konten mit in 1Password gespeicherten Geheimnissen

   • Kontinuierliche Integrations- und Bereitstellungsumgebungen

Wann ist Self-Hosting die richtige Wahl?

Die Selbsthosting-Option des Connect Servers ist besonders vorteilhaft in folgenden Szenarien:

• Wenn gesetzliche Vorschriften die Nutzung von Cloud-Diensten für sensible persönliche Daten einschränken

• Bei hohen Anforderungen an die Datenkontrolle und Sicherheit

• Wenn die Latenz kritisch ist und eine schnelle Reaktionszeit benötigt wird

• In Umgebungen, in denen unbegrenzte Anfragen erforderlich sind

• Für Unternehmen, die ihre Geheimnisse vollständig innerhalb ihrer eigenen Infrastruktur halten möchten

Trotz wachsender Nachfrage nach vollständigem Self-Hosting des 1Password-Dienstes bietet das Unternehmen derzeit nur die Connect Server-Komponente zum Selbsthosten an. Dies ermöglicht zwar die Integration in CI/CD-Pipelines und Infrastrukturautomatisierung, jedoch nicht die komplette Ablösung vom 1Password-Cloud-Dienst für die Passwortspeicherung selbst.

Schritt-für-Schritt: 1Password Connect Server einrichten

Die praktische Umsetzung eines 1Password Connect Servers erfordert sorgfältige Planung und präzise Konfiguration. Der folgende Leitfaden führt durch alle notwendigen Schritte zur Einrichtung dieser Self-Hosted-Komponente.

Systemvoraussetzungen und Vorbereitung

Zunächst müssen einige grundlegende Voraussetzungen erfüllt werden. Für alle Deployments benötigen Sie:

• Ein aktives 1Password-Konto

• Einen eigens erstellten Vault für den Connect Server (beachten Sie, dass Connect Server nicht auf die eingebauten Personal-, Private-, Employee- oder Standard-Shared-Vaults zugreifen können)

• Zugehörigkeit zu einer Gruppe mit Berechtigungen zur Verwaltung von Secrets Automation

Je nach Deployment-Art sind zusätzlich erforderlich:

• Für Docker: Eine Docker-Umgebung (lokal oder in der Cloud)

• Für Kubernetes: Eine funktionsfähige Kubernetes-Umgebung mit kubectl und Helm

Docker-Installation und Konfiguration

Die Einrichtung mit Docker erfordert zwei Container:

1. 1password/connect-api: Stellt die Connect-REST-API bereit

2. 1password/connect-sync: Synchronisiert Informationen mit 1Password.com

Für die Konfiguration:

1. Erstellen Sie die Credentials-Datei mit op create connect server --vaults

2. Speichern Sie die generierte 1password-credentials.json in einem sicheren Verzeichnis

3. Erstellen Sie dort eine docker-compose.yaml-Datei mit beiden Containern

4. Starten Sie die Container mit docker-compose up -d

Wichtige Umgebungsvariablen sind OP_SESSION (Pfad zur Credentials-Datei), OP_HTTP_PORT (Standard: 8080) und OP_LOG_LEVEL (Standard: info).

Kubernetes-Deployment

Für Kubernetes-Umgebungen bietet 1Password mehrere Integrationsmöglichkeiten:

• Helm Charts: Der einfachste Weg mit dem Befehl helm install connect 1password/connect --set-file connect.credentials=1password-credentials.json --set operator.create=true

• Kubernetes Operator: Ermöglicht die Integration von Kubernetes Secrets mit 1Password und automatischen Neustart von Deployments bei Aktualisierungen

• Manuelles Deployment: Komplexer, aber mit mehr Anpassungsmöglichkeiten

Der Kubernetes Operator unterstützt allerdings nur Connect Server, nicht Service Accounts.

Sicherheitseinstellungen optimieren

Standardmäßig ist der Connect Server für vertrauenswürdige Netzwerke konfiguriert. Für externe Nutzung sollten Sie TLS aktivieren:

• Mit eigenem Zertifikat: Setzen Sie OP_TLS_KEY_FILE und OP_TLS_CERT_FILE

• Mit Let's Encrypt: Aktivieren Sie OP_TLS_USE_LETSENCRYPT und definieren Sie OP_TLS_DOMAIN

Darüber hinaus sollten Sie folgende Sicherheitsaspekte beachten:

• Zugriffskontrolle: Beschränken Sie Vault-Zugriffe auf das Notwendigste

• Token-Rotation: Planen Sie regelmäßige Erneuerung der Connect-Token

• Überwachung: Aktivieren Sie Nutzungsberichte, um Zugriffe zu protokollieren

Nach der Einrichtung kann Ihre Infrastruktur über die REST-API oder SDK-Bibliotheken sicher auf die in 1Password gespeicherten Geheimnisse zugreifen.

Integration der 1Password API in Ihre Infrastruktur

Nach erfolgreicher Einrichtung des Connect Servers eröffnet die 1Password API zahlreiche Möglichkeiten zur Automatisierung und Integration in bestehende Systeme. Die private REST-API ermöglicht einen sicheren Zugriff auf Ihre Geheimnisse genau dort, wo sie benötigt werden.

API-Schlüssel generieren und verwalten

Um die Connect-API nutzen zu können, müssen zunächst Zugriffstoken erstellt werden:

1. Melden Sie sich auf 1Password.com an und wählen Sie Developer Tools in der Seitenleiste

2. Wählen Sie die gewünschte Secrets Automation-Umgebung

3. Klicken Sie auf New Token und folgen Sie den Anweisungen

Jedes Token kann mit einer Gültigkeitsdauer von 30, 90 oder 180 Tagen konfiguriert werden. Dies ermöglicht eine granulare Zugriffskontrolle und regelmäßige Schlüsselrotation. Über die gleiche Oberfläche können Token auch jederzeit widerrufen oder Vault-Zugriffsberechtigungen verwaltet werden.

REST API Endpunkte und Funktionen

Die Connect-API bietet umfassende Funktionen zur Verwaltung von Secrets:

• Vault-Operationen: Auflisten verfügbarer Vaults und Abrufen von Vault-Details

• Item-Verwaltung: Elemente auflisten, hinzufügen, abrufen, ersetzen oder löschen

• Dateioperationen: Dateien auflisten, Details abrufen und Inhalte herunterladen

• Überwachung: API-Aktivitäten protokollieren und Server-Gesundheit überwachen

Jede Anfrage an die API muss mit einem Zugriffstoken authentifiziert werden. Darüber hinaus sendet der Connect Server automatisch Nutzungsberichte an den 1Password-Server, sobald auf ein Element zugegriffen wird.

CI/CD-Pipeline-Integration

Die Integration in CI/CD-Pipelines ermöglicht die sichere Nutzung von Geheimnissen ohne direkte Speicherung im Code:

• GitHub Actions: Erstellen Sie ein Service-Konto und setzen Sie das Token als Umgebungsvariable OP_SERVICE_ACCOUNT_TOKEN

• CircleCI und Jenkins: Nutzen Sie vorgefertigte Integrationen für diese Plattformen

• Andere CI/CD-Tools: Verwenden Sie die CLI mit Service-Account-Authentifizierung

Diese Integrationen helfen dabei, Geheimnisse zentral zu verwalten und gleichzeitig die Sicherheit in Build- und Deployment-Prozessen zu verbessern.

Beispiel: Automatisierte Geheimnisrotation

Eine praktische Anwendung ist die automatisierte Rotation von Geheimnissen. Hierbei kann ein Skript regelmäßig:

1. Neue Anmeldedaten generieren

2. Diese über die API in 1Password aktualisieren

3. Die Zielsysteme mit den neuen Anmeldedaten konfigurieren

Beispielsweise kann für API-Schlüssel von Drittanbietern ein Cron-Job eingerichtet werden, der monatlich neue Schlüssel erstellt und sowohl in 1Password als auch im Zielsystem aktualisiert. Dadurch wird das Risiko kompromittierter Langzeit-Credentials erheblich reduziert.

Troubleshooting und Best Practices

Bei der Implementierung von 1Password Self-Hosted treten trotz sorgfältiger Planung gelegentlich Probleme auf. Eine systematische Herangehensweise an Troubleshooting und bewährte Praktiken kann jedoch den Betrieb erheblich vereinfachen.

Häufige Fehler bei der Einrichtung

Zwei Fehler tauchen besonders häufig nach der ersten Einrichtung auf:

401 Auth Error oder Exit Code 6 - Dies geschieht typischerweise, wenn die Person, die den Connect Server erstellt, keinen vollständigen Zugriff auf die Vaults hat, denen der Server und Connect-Token Zugriff gewähren sollen.

Reconciler Error in Kubernetes-Logs zeigt an, dass die Geheimnis-Synchronisierung nicht funktioniert. Ursachen können ein ungültiges OP-Connect-Token sein oder wenn der Connect Server mit der OP CLI gelöscht und neu erstellt wurde. Zur Behebung empfiehlt sich ein Rolling Restart aller OP Connect Kubernetes-Deployments, damit die neuen Anmeldedaten übernommen werden.

Darüber hinaus tritt manchmal ein Problem mit dem SSH-Agent auf, der die Benutzername/Passwort-SSH-Authentifizierung blockiert. In diesem Fall hilft das Deaktivieren des SSH-Agents in den Entwicklereinstellungen.

Performance-Optimierung

Zwei entscheidende Einstellungen für die Connect-Bereitstellung:

pollingInterval: Legt fest, wie oft der Kubernetes-Operator 1Password-Elemente überprüft. Standardmäßig sind es 600 Sekunden (10 Minuten), was für die meisten Anwendungsfälle ausreicht – wichtig ist nur, diesen Verzögerungseffekt im Team zu kommunizieren.

autoRestart: Bestimmt, ob ein Rolling Restart der Deployments im relevanten Namespace durchgeführt wird, wenn ein Geheimnis aktualisiert wird. Dies stellt sicher, dass das aktualisierte Geheimnis so schnell wie möglich verwendet wird.

Backup und Disaster Recovery

Selbst bei Cloud-basiertem 1Password ist ein lokales Backup unverzichtbar. Exportieren Sie Ihren Tresor regelmäßig in zwei Formaten:

1. 1PUX-Format: Für das Rückimportieren in 1Password ohne Informationsverlust

2. CSV-Format: Für die universelle Verwendbarkeit und mögliche Migration

Da diese Exporte unverschlüsselt sind, sollten sie an einem sicheren Ort aufbewahrt werden – entweder auf einem USB-Stick im Safe oder durch zusätzliche Verschlüsselung mit einem starken Passwort.

Die Backup-Frequenz sollte sich nach der Häufigkeit der Änderungen richten. Bei intensiver Nutzung empfiehlt sich ein monatliches Backup, mindestens jedoch quartalsweise. Denken Sie daran, dass bei Wiederherstellung alle Änderungen seit dem letzten Backup verloren gehen.

Zusammenfassend bietet 1Password Self-Hosted durch den Connect Server eine leistungsstarke Lösung für die Automatisierung von Geheimnissen. Die Kombination aus robusten Sicherheitsfunktionen und flexiblen Integrationsmöglichkeiten macht das System besonders wertvoll für Unternehmen jeder Größe.

Schließlich zeigt sich der wahre Wert dieser Lösung in der praktischen Anwendung. Die nahtlose Integration in bestehende CI/CD-Pipelines, die automatisierte Geheimnisrotation und die umfassenden API-Funktionen ermöglichen eine sichere und effiziente Verwaltung sensibler Daten.

Letztendlich hängt der Erfolg einer 1Password Self-Hosted-Implementierung von sorgfältiger Planung, regelmäßiger Wartung und der konsequenten Anwendung bewährter Sicherheitspraktiken ab. Unternehmen, die diese Aspekte berücksichtigen, schaffen eine solide Grundlage für ihre Secrets-Management-Strategie.