:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Infrastructure as Code Fünf Tipps zur IaC-Einführung
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Die Verwendung von Infrastructure as Code (IaC) sollen den IT-Alltag erleichtern. Sie ermöglicht es, eine automatisierte Cloud-Umgebung zu schaffen. Die Sicherheitsexperten von Palo Alto geben fünf Tipps, wie Unternehmen mit der sicheren Anwendung beginnen.
Schnell, sicher und entlastend – was wünscht man sich mehr? Infrastructure as Code bietet Unternehmern Vorteile. Infrastrukturleistungen lassen sich effizient, kostengünstig und in variablem Umfang bereitstellen. Rechenleistung, Speicher und Netzwerk können auf Basis eines maschinenlesbaren Codes nachvollzogen werden. Für den User erübrigt es sich somit, sich durch die Benutzeroberfläche eines Cloud-Anbieters zu klicken.
Durch IaC wird die Cloud-Infrastruktur in Code entworfen und verwaltet. Es vereinfacht den Prozess der Konfiguration einer Ressource, indem es den Endzustand dessen definiert, was erstellt werden soll. Frameworks wie Terraform, CloudFormation und Azure Resource Manager (ARM) führen alle Skripte aus, um diese Ressourcen richtig bereitzustellen.
Wie steht es um die Sicherheit bei der Einführung von Infrastructure as Code? Dieser Frage geht Palo Alto Networks nach.
Mit einer Greenfield-Anwendung beginnen
Prisma Cloud hilft Kunden, den Übergang von der manuellen Konfigurationen zu einer sicheren IaC-Nutzung zu vollziehen. Der Experte empfiehlt, mit einer neuen Anwendung zu beginnen und alles von Anfang an zu machen.
Unternehmen sollten am besten mit einer neuen Anwendung starten, die sich in der Entwicklung befindet, die gerade überarbeitet oder die regelmäßig aktualisiert wird. Diese Anwendung kann so von Grund auf Cloud-nativ aufgebaut werden. Hilfreich ist es dabei, sich an Best Practices zu orientieren. Daraufhin können Anwender damit beginnen, die Legacy-Anwendungen so umzugestalten, dass IaC für alle Aktualisierungen der Infrastruktur verwendet werden kann.
Best Practices anhand eigener Codes erlernen
Lernen geht bekanntlich am besten durch Handeln. Das gilt auch für die IaC-Sicherheit. Statische IaC-Analyse-Tools wie Checkov haben über 800 Richtlinien für verschiedene IaC-Templates.
Probieren geht über Studieren. Um sich die IaC-Best-Practices langfristig anzueignen, empfiehlt es sich, den Code selbst zu schreiben und ein Tool für die Teamkollegen für Feedback zu haben. Das Aufspüren von Fehlkonfigurationen hilft zu verstehen, was die Richtlinien sind, warum sie riskant sind und wie man sie vermeiden kann. Durch „Learning by doing“ wird man mit den Richtlinien vertraut.
Vorhandenen Code als Ausgangspunkt nutzen
Der Open-Source-Code ist eine Möglichkeit, eine Entwicklung anzustoßen. Anwender können aber auch öffentliche und private Module, Register sowie Repositories nutzen. Die Sicherheitshygiene sollte dennoch durchgeführt werden. Eine Analyse von Sicherheits- und Compliance-Praktiken für 2.600 Terraform Registry-Module und Tausende von Helm-Diagrammen in Artifact Hub ergab, dass 44 Prozent aller Terraform-Module in der Terraform Registry eine Fehlkonfiguration enthielten und 71 Prozent der Helm-Diagramme in Artifact Hub eine Fehlkonfiguration enthielten.
Funktionalität und Benutzerfreundlichkeit stehen bei den Modulen in diesen Registrys und Repositories im Vordergrund. Es liegt in der Verantwortung der Anwender, die bewährten Sicherheitsverfahren zu verstehen und zu wissen, welche Industriestandards eingehalten werden sollen. So kann beispielsweise das Repository der Person, die die Infrastruktur für die Webanwendung in Terraform erstellt hat, als Schnellstart dienen. Daneben sollten die Sicherheitskontrollen, um Sicherheits- und Compliance-Verstöße zu beheben, vor Anwendung der Templates genutzt werden.
In allen Phasen umsetzbares Feedback geben
Ein effektiver Zeitpunkt, um Fehlkonfigurationen zu beheben, ist jederzeit, bevor ein böser Akteur dieses Problem ausnutzt. Effizient und mit geringem Aufwand lassen sich Fehlkonfigurationen in der Anforderungs- und Entwurfsphase erkennen und beheben. Häufiges, konsistentes Feedback in jeder Phase des Softwareentwicklungszyklus ist ein guter Weg, um Probleme zu finden und zu beheben.
Palo Alto empfiehlt:
- Beziehen Sie einen Sicherheitsexperten in die Besprechungen zur Anforderungsermittlung und zum Entwurf ein, um Sicherheitsaspekte in die Anforderungen für jede Ergänzung oder Aktualisierung aufzunehmen.
- Integrieren Sie automatisierte Sicherheitstests lokal in IDEs, um den Ingenieuren direkt an der Quelle und im Kontext Feedback zu geben.
- Identifizieren Sie Fehlkonfigurationen während des CI/CD-Prozesses und verhindern Sie, dass inakzeptable Probleme zu einem Repository hinzugefügt oder bereitgestellt werden.
- Nutzen Sie Ihr VCS als Ort, um Verstöße gegen Best Practices direkt in Code-Kommentaren zu Pull-Requests/Merge-Requests zu diskutieren.
Dabei sollte die Suche nach Fehlkonfigurationen mit Hilfe von Tools und Überprüfungen in der Cloud-Umgebung fortwährend in Angriff genommen werden. Indem die Experten in jeder Phase prüfen, können möglicherweise vorher unentdeckte Fehler unter die Lupe genommen werden.
Zur positiven Zusammenarbeit bei der IT-Security trägt bei, das Sicherheitsfeedback und das gemeinsame Lernen auf Augenhöhe zu teilen. Palo Alto gibt mit auf den Weg: Jeder Fehler ist eine Gelegenheit, im Team zu lernen. Ermutigen Sie zum Lernen, indem Sie sowohl die Erfolge als auch die Wachstumschancen feiern.
Korrekturen im Code vornehmen
Der Prozess, alles im Code zu machen und über ein VCS einzuchecken und mit CI/CD-Automatisierung bereitzustellen, wird GitOps genannt. GitOps hat Vorteile wie eine höhere Betriebszeit und eine vergleichsweise kürzere mittlere Zeit bis zur Problemlösung (Mean Time to Resolution, MTTR).
Das Erstellen und Ändern aller Konfigurationen im Code kann laut Experten anfangs ungewohnt sein. Palo Alto führt aus: „Sie könnten versucht sein, in eine Cloud-Benutzeroberfläche zu springen und eine kleine Änderung vorzunehmen, zum Beispiel das Hinzufügen einer neuen IP-Adresse, mit der Sie sich per SSH in eine VM einwählen können, oder das Hinzufügen von Verschlüsselung zu einem Speicher-Bucket.“ Dies sollte man lassen. „Wenn Sie Änderungen direkt in Ihrer Cloud-Benutzeroberfläche vornehmen, werden alle in der Einleitung aufgeführten IaC-Vorteile zunichtegemacht“, so die Spezialisten.
Die manuelle Bearbeitung von Konfigurationen führt zu einem Drift, bei dem der Code nicht mit dem übereinstimmt, was in der Cloud läuft. Dadurch werden die IaC-Templates veraltet und nicht mehr nützlich. Zudem wird es schwieriger, mit Kollegen über die Änderungen an der Cloud-Infrastruktur zusammenzuarbeiten. Auch wenn es zum Drift kommt, gilt es, daraus zu lernen und zu überprüfen, ob es sich um ein einmaliges Ereignis handelt oder ob er systematisch ist. Das Kernproblem sollte angegangen und alle Änderungen am Code wieder vorgenommen werden.
Das Reparieren von Laufzeitkonfigurationen im Code ist Übungssache. Muss der Anwender eine neue IP-Adresse hinzufügen, um sich per SSH in eine VM einzuwählen? Wenn er das oft genug gemacht hat, weiß er genau, wo er den Ressourcenblock in der IaC-Datei findet, fügt die neue IP-Adresse hinzu und führt den „apply“-Befehl aus, um es schnell zu erledigen.
:quality(80)/p7i.vogel.de/wcms/3e/b3/3eb3635c6cf4464eccddf8f7cb6bffa9/0105063876.jpeg "Im Reich der Hyperscaler herrschen wenige Giganten. (Bild: Maksim Shmeljov - stock.adobe.com)")
AWS, Microsoft Azure, Google Cloud
Im Reich der Hyperscaler
(ID:49015493)
:quality(80)/p7i.vogel.de/wcms/b9/72/b972f53af693ad2e1434ca23d03eb16c/0111126271.jpeg "Fehlkonfigurationen haben Schwachstellen in tausenden Registries und Artefakt-Repositories verursacht. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/09/04/09048a65438c464650b756b9a1e75a2f/0112241895.jpeg "Wollen Unternehmen ihre Cloud-Security-Strategie bis 2024 verbessern, sollten sie sich auf fünf Hauptbereiche konzentrieren. (© kran77 - stock.adobe.com)")