:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfc19667755322546e8e914f17890d/0114256966.jpeg "Mehr am Bahnhof denn in der Berufsschule: Der angehende Fachinformatiker für Systemintegration Jonas Lohrmann beklagt lange Wege zur Berufsschule. (Bild: Lohrmann)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Schwachstellenanalyse für Container und Cloud, Teil 2 Container-Sicherheit mit Twistlock
Das Twistlock-Framework verspricht einen integrierten Ansatz, um Container-Sicherheit zu gewährleisten und zu überwachen. Denn im Gegensatz zum traditionellen Vorgehen klinkt sich Twistlock vollständig in die Continuous-Integration-Pipelines z. B. mit Jenkins ein und interagiert nativ mit Docker oder Kubernetes.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Das Unternehmen Twistlock ist mit der Twistlock Container Security Suite seit 2015 am Markt. Der Markt giert offenbar nach entsprechenden Lösungen: In vier Finanzierungrunden wurden 30 Millionen US-Dollar Risiko-Kapital eingesammelt. Inzwischen sitzen fünf Investoren im von Vice President Dima Stopel und CEO Ben Bernstein gegründeten Unternehmen, das heute rund 50 Mitarbeiter beschäftigt.
Das Twistlock-Framework versteht sich als Schwachstellen-Management-Suite für Container. Twistlock kümmert sich dabei nicht nur um das Härten von Containern und Images, sondern auch der Umgebung, in der die Container laufen. Konkret untersucht Twistlock Container auf Exploits sowie auf Anwendungs- oder Konfigurationsfehler und überwacht die Container-Aktivitäten. Dabei erkennt Twistlock Verstöße gegen Sicherheitsrichtlinien, meldet sie und greift bei Bedarf korrigierend ein.
Twistlock unter der Haube
Das Unternehmen Twistlock berät nicht nur Unternehmen beim Absichern ihrer Container-Umgebungen. Mit der Twistlock-Plattform steht auch eine Lösung bereit, die sich um Laufzeitschutz (Runtime Defense), Schwachstellen-Management (Vulnerability Management), Sicherheitsanalysen (Security Analytics), Zugriffskontrolle (Access Control) und vieles mehr kümmert.
Das Besondere dabei ist, dass Twistlock weder Hosts noch den Container Daemon oder die Anwendung selbst anfasst. Trotzdem erkennt Twistlock Schwachstellen auch innerhalb des Linux Distribution Layers, in Bibliotheken und laut Hersteller sogar in App Frameworks wie Node.js oder in selbstgebauten Applikationen. Zudem ergänzt Twistlock die eigene Container-Umgebung um Authentifizierungs- und Autorisierungsmechanismen.
Damit können Entwickler ihre Umgebung besser kontrollieren als mit den hauseigenen Möglichkeiten. Die Authentifizierungs- und Autorisierungsmechanismen integrieren sich auf Wunsch nahtlos mit Kerberos oder LDAP. Im Detail verwendet Twistlock Machine Learning, sodass sich Anwendungen in Echtzeit und automatisch kategorisieren lassen. Daraus generiert Twistlock dann ein Security-Modell, das auf von Twistlock gepflegten Whitelists basiert.
:quality(80)/images.vogel.de/vogelonline/bdb/1282600/1282624/original.jpg "Enthält die ursprüngliche Version eines Containers eine Schwachstelle, findet sich diese auch in den identischen Abbildern wieder. (heju - Pixabay.com)")
Schwachstellenanalyse für Container und Cloud, Teil 1
Ebenen der Container-Sicherheit
Continuous Delivery
Das Besondere an Twistlock ist, dass die Lösung den kompletten Entwicklungszyklus einer Continuous-Delivery-Pipeline „begleitet“, während beispielsweise Firewalls im Prinzip nur reine Operations-Werkzeuge sind. Statische Codescanner hingegen werden vorzugsweise nur von Entwicklern eingesetzt. Twistlock vereint alle Aspekte in einem Tool, indem es sich als Plug-in z. B. in die Pipeline von Jenkins einklinkt und so einem DevOps-Ansatz ermöglicht.
Twistlock ist in einer für bis zu zehn Repositories und zwei Hosts kostenlosen Developer- und in einer Enterprise-Edition verfügbar. Während sich Policies in der Developer-Edition nur manuell anlegen lassen, Integriert die hier beschriebene Enterprise Edition eine vollautomatische Absicherung via Machine Learning. Die neue Version 2.1 bringt unter anderem erstmals eine Cloud Native App Firewall mit.
Cloud Native App Firewall
Traditionelle Web App Firewall (WAF) agieren stets von der eigentlichen Applikation separiert und „beanspruchen“ zudem immer mindestens zwei „menschliche Ressourcen“. Angenommen ein Entwickler betreibt Wordpress auf Basis einer virtuellen Machine und möchte Traffic zur/von der VM filtern, muss er sein Security-Team bitten, dass dieses ihre WAF passend konfiguriert. Je nach Komplexität des Szenarios müssen ggf. Load Balancer angepasst werden – und möchte man eine andere VM konfigurieren, geht das Spiel von vorne los.
In einem Cloud-native-Szenario hingegen wird die entsprechende App von vornherein im Container entwickelt. Zusammen mit einem Orchestrator werden Annahmen wie die im Beispiel genannte aber zunehmen schwieriger zu verwalten. So hat die App im Container-Environment möglicherweise nicht immer die gleiche IP und hat der Nutzer selbst nicht die volle Kontrolle über die Routing-Topologie, lassen sich auch zugehörige Load Balancer oder Application Filter nicht anpassen. Hinzu kommt, dass sich jedes Mal, wenn eine neue App ausgerollt wird, erneut Operatoren, Entwickler und Security-Team „abstimmen“ müssen.
Da aber Twistlock sämtliche Apps auf den Container-Host und den Traffic zu sämtlichen Apps permanent „im Blick” hat, lässt sich der geschilderte Workflow dramatisch vereinfachen. Die neue Cloud Native App Firewall (CNAF) kombiniert dieses Wissen in Bezug auf Platzierung und Visibilität derart, dass sich Anwendungen mit einem Minimum menschlicher Interaktion automatisch schützen lassen.
Aktiviert der Nutzer CNAF im oben skizzierten Wordpress-Beispiel, kennt Twistlock automatisch sämtliche „Ausführungsorte” und re-routet eingehenden Traffic zu diesen Containern automatisch über den „Twistlock-Defender“. Dieser weist dem Traffic einen hoch priorisierten applikationsspezifischen Layer-7-Filter zu, der dafür sorgt, dass nur „sauberer“ Traffic zum Container gelangt. Das funktioniert, laut Twistlock, ohne dass Entwickler irgendwelche Änderungen an ihren Images, Containern oder der Container-Architektur vornehmen müssen.
Twistlock lernt auf Basis seiner ML-Engine dynamisch, wo die entsprechenden Filter anzuwenden sind, filtert den Applikations-Traffic transparent gegen verbreitete Angriffsmuster wie SQL Injection oder Cross Site Scripting, blockt ebenfalls transparent Anfragen von bösartigen Endpoints und stellt sicher, dass nur sauberer Traffic die Applikation erreicht. All das funktioniert, ohne irgendwelche externe Geräte konfigurieren oder IP-Adressen eintragen zu müssen. Das Ergebnis lässt sich in der Twistlock-GUI unter „Monitor / Runtime“ beobachten.
(ID:44899092)
:quality(80)/p7i.vogel.de/wcms/ab/ab/abab99f7cd55b4059a2b1eb47f2dfc25/0108205493.jpeg "Auf der VMware Explore wurden einige Neuerungen angekündigt, die der Cloud-nativen Anwendungsentwicklung und -bereitstellung dienen. (Bild: VMware)")
:quality(80)/p7i.vogel.de/wcms/29/49/294963cf0c33c9bc5448f3d3a76f085c/0113384344.jpeg "Anhaltende Softwaresicherheit muss für Unternehmen oberstes Gebot sein, denn Container sind nicht nur eine Methode zur Effizienzsteigerung und schnelleren Softwareentwicklung – ihre Absicherung ist von entscheidender Bedeutung für alle. (Bild: your123 - stock.adobe.com)")