:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Maschinelle Identitäten Digitale Zertifikate sichern die DevOps-Strategie
Automatisierte Prozesse und Plattformen sorgen in DevOps-Konzepten für die nötige Agilität. Damit die Sicherheit dabei nicht zu kurz kommt, muss die Identität von virtuellen Maschinen, Containern und Cloud-Diensten sich zweifelsfrei klären lassen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
DevOps-Teams schätzen Innovation, allerdings brauchen sie Plattformen, die für Geschwindigkeit und Agilität sorgen. Ein wichtiger Aspekt bei der Anwendungsentwicklung ist und bleibt die Sicherheit. Für einen sicheren Ablauf muss jede Maschine, ob es sich nun um eine virtuelle Maschine, eine Cloud oder einen Container handelt, der in einem Rechenzentrum läuft, identifiziert werden. Ebenso gilt es, die Kommunikation der Komponenten zu schützen.
Menschliche User nutzen ihren Benutzernamen, Passwörter oder Biometrie, um sich zu identifizieren. Die Identität von Maschinen wird hingegen durch digitale Zertifikate und kryptographische Schlüssel überprüft. Gerne verwenden Entwickler hier eigens ausgestellte Zertifikate oder besorgen sich kostenlose Zerifikate und Schlüssel von Zertifizierungsstellen (CA Certificate Authorities), deren Vertrauenswürdigkeit zu bezweifeln ist.
Wir haben hier bei Banken bis zu 32 verschiedene CAs gesehen, die für Webanwendungen außerhalb der demilitarisierten Zone (DMZ) verwendet wurden. Unglücklicherweise ringen aber sogar die anspruchsvollsten DevOps-Teams mit sicheren Schlüsseln und digitalen Zertifikaten. Sie benötigen einen Zugang zu sicheren und vollautomatisierten Schlüsseln und Zertifikaten, ohne dass die Anwendungsentwicklung gestört oder gebremst wird.
Sicherheitsrisiko selbstsignierte Zertifikate
DevOps Teams stehen darüber hinaus unter enormen Zeitdruck. Das verlangt gerade in puncto Sicherheit einen gewissen Grad an Automation, um die Auslieferungsprozesse bei der Anwendungsentwicklung zu beschleunigen. Allerdings ziehen sich die komplizierten Prozesse für die Anschaffung von Schlüsseln und Zertifikaten in die Länge.
Entwickler gestalten die Beschaffungsprozesse für Schlüssel und Zertifikate deshalb oft nach ihren Bedürfnissen. Diese Ad-hoc-Prozesse für die Erstellung von Schlüsseln und Zertifikaten erfüllen allerdings nur selten die Sicherheitsstandards der Unternehmen und stellen ein signifikantes Sicherheitsrisko dar.
Die selbstsignierten Zertifikate sind ein oft genutztes Mittel, wenn es darum geht, schnell die benötigten Zertifikate zur Verfügung zu haben. Dieser Ansatz birgt eine doppelte Problematik. Viele Systeme stufen die Eigenbauvarianten nicht als vertrauenswürdig ein. Zusätzlich lassen sie sich leicht von Cyberkriminellen fälschen. Es ist unmöglich zu identifizieren, welche Maschinen zu einem Netzwerk gehören und welche nicht.
Die Argumentation, dass es sich bei diesen Zertifikaten nur um Test-Zertifikate handelt, führt in die Irre. In den meisten Fällen werden sie nicht durch solche von vertrauenswürdigen Certificate Authorities (Zertifizierungsstellen) ersetzt, wenn die fertig entwickelte Anwendung live geht.
DevOps steht für eine schnelle, nicht für eine sichere Entwicklung. Beispiel war ein Unternehmen, bei dem ein Scan Zertifikate von 140 verschiedenen Zertifizierungsstellen zu Tage förderte, von denen die verantwortlichen Administratoren nichts wussten. Jede Anwendung, die nun von den Entwicklern so programmiert wird, dass sie der ausstellenden Stelle vertraut, wird dadurch automatisch allen Zertifikaten dieser Stelle ebenfalls vertrauen. Eine weitere Überprüfung findet nicht statt.
Eine Möglichkeit, dieses Problem zu beheben, ist eine nahtlose API-Integration mit einer hochwertigen Zertifizierungsstelle, die Entwicklern einen automatisierten, schnellen, skalierbaren und kostenlosen Zugang zu Schlüsseln und Zertifikaten verschafft. Dieser Zugang sollte direkt aus den DevOps Plattformen erfolgen, ohne eine Kompromittierung der Sicherheit des Unternehmens in Kauf nehmen zu müssen.
Maschinen-Identitäten für Container
Schlüssel und Zertifikate schaffen Identitäten für alle möglichen Maschinen, darunter auch Container, derzeit vor allem für die in Mode gekommenen Docker-Container. Die bösartige Nutzung von manipulierten oder gestohlenen Zertifikaten erlaubt Angreifern sich im verschlüsselten Datenverkehr zu verstecken. Vielen Organisationen fehlen jedoch die geeigneten Tools, um diesen Gefahren zu begegnen. Schlussendlich führt dies zu einem dramatischen Anstieg von Risiken für die Unternehmenssicherheit, sobald die Anwendung dort eingesetzt wird.
Fazit
Diese Sicherheitsrisiken verstärken sich in DevOps-Umgebungen, weil hier die Gefahren durch die Geschwindigkeit und Größe der Entwicklung exponentiell wachsen. Im Endergebnis explodiert die Anzahl an Maschinen und die für deren Identifizierung benötigten Schlüssel und Zertifikate geradezu.
Ohne skalierbare und automatisierte Sicherheit können kompromittierte Schlüssel und Zertifikate bereits bei der Entwicklung einer Anwendung zu schwerwiegenden Sicherheitslücken führen. Angreifer können sich unerkannt in dem zunehmenden Datenverkehr verstecken, ohne, dass dies bemerkt wird. DevOps Teams benötigen eine sichere Quelle für vertrauenswürdige Zertifikate und Schlüssel sowie gleichzeitig einen Prozess zu deren automatischer Verwaltung.
Es nützt nichts, sich auf die CAs zu verlassen, vielmehr hilft eine hochperformante, technikgestützte Sicherheitsstrategie für die intelligente und automatische Erkennung von Maschinenidentitäten. Entwickler sollten sich nicht noch manuell um die in der Software verwendeten Schlüssel und Zertifikate kümmern müssen, denn dies kostet wertvolle Zeit, die besser in zusätzliche Qualitätschecks investiert werden sollte.
* Kevin Bocek ist Chief Security Strategist bei Venafi.
(ID:44681231)
:quality(80)/images.vogel.de/vogelonline/bdb/1907100/1907111/original.jpg "Selbst in modernen Container-Umgebungen sind Backups unerlässlich. (Alex - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944900/1944962/original.jpg "Kubernetes birgt mit Blick auf die Sicherheit einige Besonderheiten. (shane - stock.adobe.com)")