:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/58/93/5893a71aa052ecf6627e61677baae7ba/0111437393.jpeg "Das rasant zunehmende Entwicklungstempo und die zunehmenden Risiken unterstreichen die Notwendigkeit für CISOs, sich mit DevSecOps zu befassen. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/27/4e270de1acbf69555c6f8a44762de945/0111260221.jpeg "„Zabbix“ ist ein Open-Source-tool für das Monitoring von IT, egal ob diese sich im eigenen Rechenzentrum und in der Cloud. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3f/b1/3fb157d253e806b0b0c38112c2a0f4af/0111495434.jpeg "CockroachDB Dedicated ist jetzt bei Microsoft Azure und damit bei den drei großen Cloud-Anbietern verfügbar. (Bild: Cockroach Labs)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/d5/c4d5f080ecab3d2f47e56105ea3de667/0111155618.jpeg "Unabhängig von der Debatte um das GPL-SaaS-Schlupfloch sollten Software-Anbieter die Lizenzen von OSS-Komponenten genau im Blick behalten. (Bild: <a href=https://pixabay.com/users/prettysleepy-2973588/>Amy</a>)")
:quality(80)/p7i.vogel.de/wcms/c4/34/c43470f304961a9a4bbd656c663c03ea/0111545788.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/78/f4/78f40b9b4101d4d69308cd0d67db1ff0/0110956704.jpeg "Hobby-Entwickler? Von wegen! Open-Source-User sind meist IT-Experten aus, die Software professionell nutzen. (Bild: A.B./peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/f6/cef6df5753a9b7f094deae13f2886740/0111581858.jpeg "Software zur Automatisierung von Aufgaben, die auf Basis von Low-Code entwickelt wurde, kann schnell in Betrieb genommen werden. Etwaige Anpassungen sind auch im Anschluss noch möglich. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/b7/b9b77f53b197fc0fe1f8d288e40e4093/0111181006.jpeg "Das Ergebnis einer einzelnen Anweisung – nicht einmal schlecht. (Bild: Lang)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/3f/9c/3f9cf4dfd209864515495e8e95c93d4f/0111156776.jpeg "Je nach Editor oder IDE kann die Code Completion recht mächtig sein. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Probleme in segmentierten Anwendungen aufdecken Container-Probleme mit Security und Monitoring
Die Bedeutung von Docker und Kubernetes in der aktuellen Softwareentwicklung wächst. Deren vorteilhaften Eigenschaften werfen allerdings auch Fragen in Hinblick auf ihre Überwachung und Sicherheit auf.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Docker und Lösungen wie Kubernetes haben offenbar einen Nerv in der agilen Softwareentwicklung getroffen. Der Einsatz von Containern bei der Bereitstellung von Anwendungen und Services erfreut sich wachsender Beliebtheit. Inzwischen hantieren selbst ambitionierte Heimnutzer wie selbstverständlich mit Docker-Images, um damit Server-Anwendungen auf PC oder ihrem NAS zu installieren.
Containerisierung als Basis aktueller IT-Konzepte
Containerlösungen sind technische Antworten auf einen seit Jahren erkennbaren Paradigmenwechsel in der IT. Der begann mit agilen Vorgehensmodellen in der Entwicklung, die stark auf die Automatisierung setzen. Das Konzept von DevOps ermöglicht es Teams heute, mit „Infrastructure as Code“ und „Configuration as Code“ ihre Infrastruktur selbst aufzubauen und skalieren. Statt einzelne Komponenten oder Bibliotheken zu aktualisieren, werden neue Image-Dateien erstellt und als Ganzes automatisiert ausgerollt.
Mit der Aufspaltung umfangreicher IT-Projekte in kleinere Arbeitspakete, die in Sprints umgesetzt werden, geht eine Aufspaltung der IT-Strukturen einher. Statt monolithischer Anwendungen wird an Mikroservices gearbeitet, die in Orchestrierungsumgebungen zur Gesamtanwendung zusammengestellt werden.
Die Vorteile liegen nahe: Anwendungstests können bereits vor der Bereitstellung durchgeführt werden, und zwar in einer Umgebung, die sich nicht von der Produktivumgebung unterscheidet. In Multi-Cloud-Umgebungen lassen sich Container mit geringen Aufwänden verschieben. Und potenziell kann jeder Service in einem eigenen Container laufen.
Mehr Fragmente bedeuten mehr Bedrohung
Gerade diese Fragmentierung der Infrastruktur wirft aber auch auf Fragen in Hinblick auf die IT-Sicherheit auf. Aktuelle Infrastrukturen sind ein Geflecht aus Containern, Cloud-Umgebungen und Netzwerkverbindungen. Damit werden sowohl die Überprüfung auf Schwachstellen und das Schließen von Sicherheitslücken deutlich anspruchsvoller. Potenzielle Bedrohungen jedes einzelnen Containers ergeben sich aus:
- DDoS-Attacken auf Anwendungsebene und Cross-Site-Scripting-Angriffe auf öffentlich zugängliche Container.
- Kompromittierung des Containers, die bereits im Entwicklungsprozess beginnen kann. Viel zu oft gehen Entwickler davon aus, dass die benutzten Code-Libraries sicher sind. Doch gerade die Libraries von Drittanbietern können sich als besonders riskant erweisen. Das gilt auch für externe Images, die niemals ungeprüft genutzt werden sollten. Gefahren erwachsen hier ebenfalls aus der Codebasis und möglicherweise falsch gesetzten Rechten, die zu viele Privilegien umfassen.
- Container-Breakouts, also die Isolationsschicht der Container wird überwunden. Damit besteht die Gefahr, dass ein nicht autorisierter Zugriff auf andere Container, das Host-System oder gar das Rechenzentrum erfolgt.
- Schwachstellen im Framework selbst, also Sicherheitslücken in der Docker-Umgebung oder Orchestrierungslösungen wie Kubernetes.
Als unmittelbare Folge dieser Schwachstellen, könnten unbemerkt Mechanismen eingeschleust werden, die den Container dazu zwingen, besonders viele Systemressourcen an sich zu ziehen, um so die Performance anderer Container oder Umgebung zu beeinträchtigen. Zudem kann es Lücken in den Kommunikationsprotokollen geben, die für den Datenaustausch verwendet werden.
Erschwert wird das Aufspüren und Schließen von Schwachstellen im Umfeld von Containern dadurch, dass diese oft eine begrenzte Lebenszeit haben.
Docker und Kubernetes fordern Monitoring heraus
Das Schließen von Sicherheitslücken ist indes nur ein Aspekt bei der Nutzung der Containerisierung. Schließlich geht es nicht nur um sichere, sondern funktionierende und belastbare Anwendungen. Leistung und Verfügbarkeit aller Anwendungen innerhalb eines Containers müssen genauso geprüft werden, wie CPU- und Speicherverbrauch in Hinblick auf einen Maximalwert. Anforderungsraten, Datendurchsatz und Fehlerquote liefern wichtige Informationen über die Gesundheit einzelner Container respektive der Gesamtanwendung.
Klassisches Application Performance Monitoring oder Infrastruktur-Monitoring müssen in einer zunehmend komplexen IT-Struktur zwangsläufig an ihre Grenzen stoßen. Denn je fragmentierter die gesamte Umgebung, umso schwieriger wird eine rein manuelle Überwachung, um operative Kennzahlen (Work Metrics) und Werte, die die Ressourcen betreffen (Resource Metrics), zu ermitteln. Aufgrund der gewählten Struktur ist typischerweise eine ganze Reihe von Dingen parallel im Auge zu behalten: Die Container selbst, die jeweilige Cloud-Plattform, einzelne Services und auch die Kubernetes-Umgebung, um etwa über fehlgeschlagene Starts oder Pod-Neustarts Informationen zu erhalten. Diese Aufgaben sind mit klassischen Monitoring-Ansätzen kaum zu bewältigen.
Sicherer Betrieb, aber mit den richtigen Werkzeugen
Aus den genannten Gründen und Voraussetzungen ergibt sich, dass ein sicherer und stabiler Betrieb von Container-Umgebungen und aktueller Infrastruktur am besten durch optimal darauf abgestimmte Lösungen für das Monitoring gewährleistet wird. Damit darf und sollte auch schon im Rahmen des Entwicklungsprozesses begonnen werden. Denn das Monitoring kann bereits wichtige Ergebnisse liefern, um Schwachstellen in der Performance der Gesamtanwendung aufzudecken.
Eine umfassende Überwachungslösung für containerisierte Umgebungen berücksichtigt zum einen die Sicherheit. „Static Application Security Testing“ (SAST) kann bereits in einer frühen Phase, in der Code noch nicht vollständig ausführbar sein muss, durchgeführt werden, um Risiken in Containern und den verwendeten Libraries zu entdecken. „Dynamic Application Security Testing“ verhindert das Deployment von anfälligem Code zu verhindern.
Gerade weil in komplexen Umgebungen eine Vielzahl von Containern und Services mit der damit korrespondierenden Zahl von Metriken zu überwachen sind, muss das Monitoring übersichtlich sein und über Automatisierungen verfügen, damit DevOps- und DevSecOps-Teams potenzielle Probleme rasch erkennen. Nur so können sie so rechtzeitig handeln, um größere Ausfälle oder gar Stillstände zu verhindern.
Methoden des maschinellen Lernens leisten im Monitoring gute Dienste, weil sie nicht ausschließlich Abweichungen gegenüber vorher definierten Schwellenwerten bemerken, die ein „gesundes“ System beschreiben, sondern in der Lage sind, auf Basis eigener Prognosen auf mögliche Probleme hinweisen. Das können bereits sich verstärkende Latenzen bei Datenbankabfragen sein, die dem Team so gar nicht aufgefallen wären.
Ein sicherer und stabiler Betrieb von Container-Umgebungen ist somit möglich, wenn das Monitoring Sicherheit und Performance abdeckt, Anomalien automatisiert erkennt und „Real User Monitoring“ und „Application Performance Monitoring“ nicht in separaten Datensilos voneinander trennt.
* Alexander Weber ist Regional Vice President Central Europe bei Datadog, der Überwachungs- und Sicherheitsplattform für Cloud-Anwendungen. Weber, der über knapp 20 Jahre Vertriebs- und Managementerfahrung verfügt, zeichnet in der Rolle das operative Geschäft und das Wachstum von Datadog in den Kernregionen DACH, BeNeLux sowie Osteuropa verantwortlich. Vor seinem Wechsel zu Datadog Ende 2021 war Alexander Weber bei dem IT-Security-Anbieter Tanium als Regional Vice President für Deutschland beschäftigt. Davor war er Director of Sales bei ServiceNow. Weitere Stationen seiner Karriere umfassen unter anderem Juniper Networks, CA Technologies und Dell. In seiner neuen Position bei Datadog berichtet Weber direkt an Patrik Svanström, Vice President EMEA Sales.
(ID:48109520)
:quality(80)/images.vogel.de/vogelonline/bdb/1955500/1955591/original.jpg "DevOps kann zu einem sehr komplexen Ökosystem von Tools führen, so dass es gerade auf Entscheiderebene schwieriger wird, Einblicke und Erkenntnisse zu gewinnen. (Ico Maker - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1905900/1905954/original.jpg "DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen. (Murrstock - stock.adobe.com)")