:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/48/63/48636b30e2851005f306fb7910e0c322/0109499300.jpeg "Neben Fortschritten bei der Künstlichen Intelligenz hält das Jahr 2023 noch andere Development-Trends bereit. (© Weissblick – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/0f/e7/0fe7f900a0b01f30902f3c7209857b5e/0110554825.jpeg "Jörg Noack, Consol: „DevOps ist nichts, was Unternehmen allgemein und Entwickler-Teams speziell ‚on the run‘ umsetzen können.“ (Bild: Consol)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/fb/96/fb96a60a4f2eeba26d699b57f8c4d817/0109733675.jpeg "Alles in allem ist die Cloud Computing Foundation (CNCF) eine erfolgreiche Non-Profit-Organisation, Heimat für innovative Open-Source-Projekte, selbst wenn angesagte Highflyer auch einmal abstürzen. (Bild: Cmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/ef/92/ef92c79c7b46e86b86b16e516e14d30e/0110198131.jpeg "Die Umfrageteilnehmer schätzen an Open Source vor allem die Möglichkeit, den Code in Projekten anpassen zu können. (Bild: © – Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Runtime Application Self Protection DevOps mit RASP sicherer machen
DevOps stellt besondere Herausforderungen an die IT-Sicherheit. Kontinuierliches Feedback aber kann Anwendungen sicherer machen kann. In diesem Beitrag schauen wir uns an, welche Technologien dabei helfen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3- (Fastly)"){kind=logo}
Fast immer, wenn es um die Absicherung von DevOps geht, geht es um die Frage, wie sich Security-Tests in die Continuous-Integration-/Continuous-Deployment-Pipeline (CI/CD) integrieren lassen. Selbstverständlich ist es richtig, sich mit diesem Thema auseinanderzusetzen: Die Sicherheit darf nicht darunter leiden, dass die Software-Entwicklung immer schneller vonstattengeht.
Security-Testing benötigt deshalb einen festen Platz in der neuen Kultur – die für DevOps so wichtige Automatisierung kann außerdem dazu beitragen, es noch effizienter zu machen. Wer die Diskussion rund um DevSecOps aber auf das Security-Testing beschränkt, der begeht einen Fehler. Es ist nämlich falsch so zu tun, als würde sich Anwendungssicherheit auf die Phase vor dem Deployment beschränken.
Genauso wichtig ist die Frage, was mit der Software passiert, nachdem sie ausgeliefert wurde. Eine Technologie wie Runtime Application Self Protection (RASP) liefert Antworten: Sie hilft im Rahmen von DevOps, die Anwendungssicherheit auf die Produktivumgebung auszudehnen.
Erst Feedback-Schleifen machen DevOps zu DevOps
Der Unterschied zwischen Continuous Integration und Deployment sowie DevOps erschließt sich vielen Betrachtern nicht auf Anhieb. Und tatsächlich basiert DevOps auf den vorgenannten Methoden – es gibt also viel Deckungsgleichheit. DevOps aber ist wesentlich mehr als nur eine neue Form, Software-Releases zu managen: Es ist eine Kombination aus Kulturwandel und technischer Innovation, die die Entwicklung und Auslieferung von Software schneller, effizienter und zuverlässiger macht.
Wer sich nur auf Pipeline fokussiert, ignoriert einen der Grundpfeiler von DevOps: Feedback-Loops. Diese zielen darauf ab, Störungen und Probleme unmittelbar zu erkennen, Informationen darüber ohne Zeitverzögerung an die zuständigen Personen zu übermitteln und so eine rasche Behebung zu ermöglichen. Das dahinterstehende Prinzip ist die perfekte Ergänzung zu Continuous Deployment.
Für die IT-Sicherheit sind Feedback-Loops ebenfalls von entscheidender Bedeutung. Informationen über die aktuelle Bedrohungslandschaft und Vorfälle in der Produktivumgebung müssen direkt an Entwicklerteams zurückgespielt werden. Nur so haben diese die Möglichkeit, Schwachstellen rechtzeitig zu beseitigen.
Weshalb WAFs nicht ausreichen
Welche Tools sind dazu notwendig? Reicht eine Web Application Firewall (WAF)? Prinzipiell ist diese in der Lage, sicherheitsrelevante Ereignisse zu identifizieren und Alarm zu schlagen. Gleichzeitig blockiert sie das weitere Vorgehen, wodurch mehr Zeit zur Beseitigung der Schwachstelle bleibt. Problematisch ist jedoch, dass WAFs ausschließlich auf Regelverletzungen reagieren – und die Regeln für SQL-Injections, Cross-Site-Scripting (XSS) und andere Angriffsmethoden üblicherweise für jede Anwendung eigens definiert werden müssen.
Nach Updates kann es außerdem erforderlich sein, die Regeln erneut zu konfigurieren. In der Zwischenzeit bleibt die Anwendung ungeschützt und die WAF kann Vorfälle nicht erkennen und melden. Darüber hinaus ist die WAF eine separate Appliance, die nicht im Kontext der Anwendungs-Entwicklung bereitgestellt wird. Sie unterliegt also nicht der Kontrolle des DevOps-Teams. Will dieses die WAF aktualisieren oder neu konfigurieren, bleibt nur der Umweg über die zuständige Abteilung.
Folge dieses recht umständlichen Verfahrens sind Verzögerungen bei der Beseitigung von Schwachstellen. Ein weiteres Problem der WAFs im Rahmen von DevOps: Lizenzprobleme verhindern in der Regel, dass sie auch in Entwicklungs- oder Testumgebungen zum Einsatz kommen. Das führt zu einem Verstoß gegen eines der Grundgesetze der Anwendungsentwicklung: Software sollte in der gleichen Konfiguration getestet werden, in der sie später bereitgestellt wird.
RASP als Alternative
Gerade im Kontext von DevOps ist RASP deshalb eine sinnvolle Alternative zu WAFs und dem klassischen Perimeterschutz. RASP erfordert keine anwendungsspezifische Konfiguration, kann Vorfälle jedoch genauer beobachten, da es direkten Einblick in das Innenleben der Anwendung nehmen kann. Außerdem liegt RASP auf dem gleichen Server wie die Anwendung selbst.
Über ein Puppet- oder Chef-Script beziehungsweise als Teil eines Containers ist eine schnelle Bereitstellung möglich – zum Beispiel im Rahmen einer vollautomatischen Continuous-Deployment-Pipeline. Ob es dabei um die Bereitstellung in die Produktivumgebung oder eine Entwicklungsumgebung geht, ist unerheblich.
Gleichzeitig ist RASP in der Lage, Angriffe selbstständig zu stoppen und das aufgetretene Problem zu melden. Auf diese Weise wird die unmittelbare Gefahr abgewendet und es besteht mehr Spielraum für Entscheidungen. Sollte die Lösung des Problems oberste Priorität genießen? Reicht es aus, es im Rahmen des nächsten Sprints anzugehen? Oder sollte man das Problem, sofern es um ein Legacy-System geht, einfach als technische Schuld verbuchen und seine Lösung vertagen, weil es wirtschaftlich sinnvoller ist? Unter dem Schutzschirm von RASP sind all diese Wege gangbar.
Fazit
Wenn es um IT-Sicherheit im Rahmen von DevOps geht, drehen sich die Diskussionen in der Regel um die Frage, wie sich Tests und andere Sicherheitsmaßnahmen automatisieren lassen, um zu verhindern, dass sie den Entwicklungszyklus der Software unnötig ausbremsen. Wer sich aber allein auf dieses Thema beschränkt, denkt zu einseitig.
Continuous Feedback ist schließlich eine wesentliche Säule von DevOps und spielt auch für die Sicherheit eine wichtige Rolle. Nur wenn es gelingt, Informationen über Vorfälle in der Produktivumgebung an das Entwicklerteam zurückzuspielen, kann dieses adäquat reagieren. RASP ist eine Technologie, die diesen Prozess bestmöglich unterstützt.
* Nabil Bousselham ist seit Juli 2015 als Solutions Architect beim Spezialisten für Anwendungssicherheit Veracode tätig. Bousselham hat Informatik und Physik an der Universität Leipzig studiert und verfügt über mehrere Zertifikate im Bereich Software Engineering der ISQI GmbH und ISSECO CPSSE.
(ID:44934261)
:quality(80)/images.vogel.de/vogelonline/bdb/1931800/1931805/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1889200/1889284/original.jpg "Das Airlock Microgateway soll eine Brücke zwischen Entwicklern und Admins schlagen und so für schnellere und vor allem unkomplizierte Deployments sorgen. (Ergon Informatik AG)")