:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e7/0fe7f900a0b01f30902f3c7209857b5e/0110554825.jpeg "Jörg Noack, Consol: „DevOps ist nichts, was Unternehmen allgemein und Entwickler-Teams speziell ‚on the run‘ umsetzen können.“ (Bild: Consol)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Entwickler mit Credential- und Secrets-Management unterstützen Sichere Entwicklung beginnt beim Zugriffsschutz
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3- (Fastly)"){kind=logo}
Unternehmen setzen zunehmend auf eine agile Softwareentwicklung und DevOps-Modelle, um Innovationen voranzutreiben und die geschäftliche Performance zu verbessern. Die Sicherheit darf dabei allerdings nicht auf der Strecke bleiben. Und sie sollte kein Add-on, sondern muss integraler Bestandteil sein.
Nach wie vor unterschätzen Unternehmen bei der agilen Entwicklung und DevOps-Implementierungen die Sicherheit. Dabei lassen sie außer Acht, dass gerade dadurch die Angriffsfläche für Cyber-Attacken steigt, allein schon, weil mehr Zugangsdaten generiert und über vernetzte Systeme hinweg geteilt werden.
Zu solchen Zugangsdaten und Anmeldeinformationen gehören etwa API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code, der häufig auch in zentralen oder gar öffentlich zugänglichen Repositories liegt. In der Hand eines externen Angreifers stellen diese vertraulichen Zugangsdaten eine erhebliche Sicherheitsgefahr dar, da sie letztlich eine vollständige Kontrolle über die IT-Infrastruktur eines Unternehmens ermöglichen können.
Dieses Bewusstsein für die Gefahren muss auf Unternehmensseite vielfach noch entwickelt werden – die Empfehlung lautet: Denken wie ein Angreifer. Und darüber hinaus müssen auch unterstützende Sicherheitslösungen eingesetzt werden, die die Entwickler entlasten.
Sicherheit muss immer integraler Bestandteil in allen Prozessschritten der agilen Entwicklung und der DevOps-Landschaft sein: von der Designphase über die Entwicklung und das Testen bis zum Rollout einer Applikation. Um eine hohe Sicherheit und Qualität der Applikationen zu gewährleisten, sind prinzipiell zwei Punkte von hoher Relevanz: die Code-Analyse und die Sicherung von Anmeldeinformationen, die etwa in Form von Passwörtern, Tokens oder API-Keys vorliegen.
Für die Codeanalyse sind zahlreiche Automationstools für die Problemermittlung bei Operationen oder Prozeduren verfügbar. Sie sind unverzichtbar, da auch Menschen Fehler und seien es nur Flüchtigkeitsfehler machen können.
API-Schlüssel richtig nutzen
Typischer Angriffspunkt und damit das größte Sicherheitsrisiko sind aber die Anmeldeinformationen, etwa die von Anwendungen und Diensten programmatisch genutzten API-Zugriffsschlüssel. Sie dienen unter anderem der Zugriffsvalidierung bei Automationstools, mit denen die Provisionierung eines Containers oder Änderungen in der Cloud-Umgebung wie das Stoppen und Starten eines Servers vorgenommen werden.
Das Grundproblem dabei ist, dass Anmeldeinformationen vielfach statisch gespeichert werden, etwa in Code hinterlegt oder in Repositories wie GitHub gespeichert. Die Lösung muss deshalb lauten: Anmeldeinformationen dynamisch erzeugen und erst zur Laufzeit laden.
Bezogen auf die API-Key-Nutzung ergibt sich dadurch folgender Ablauf: Starten des Funktionsaufrufs, Übergabe der Anmeldeinformationen und Berechtigungsprüfung etwa für den Applikations- oder Datenbankzugriff. Für die Speicherung und Verwaltung von Zugangsdaten und API-Schlüsseln bietet sich ein digitaler Datentresor (Vault) an, also ein speziell „gehärteter“ Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet.
Cloud-Konten als Gefahrenquelle
In engem Zusammenhang mit DevOps-Modellen steht auch die Cloud-Nutzung, etwa die Verwendung von Cloud-basierten Source-Code-Repositories. Um Sicherheitsgefahren bei der Nutzung von Cloud-Services auszuschließen, müssen Unternehmen die Zugangsdaten zu Cloud-Managementkonsolen und -portalen adäquat verwalten, sichern und überwachen.
Bei einer Single-Cloud-Lösung können dabei prinzipiell Identity-and-Access-Management (IAM)-Funktionen, Multi Factor Authentication (MFA) und Key Management Stores (KMS) in der jeweiligen Cloud selbst genutzt werden. Bei einer Multi-Cloud-Lösung hingegen sollten Unternehmen eine von einer bestimmten Cloud-Lösung unabhängige Credential- und Secrets-Management-Lösung einsetzen, die zentral den Zugriff auf Anmeldeinformationen regelt.
Die agile Entwicklung und Nutzung von DevOps-Modellen bringt Unternehmen erhebliche Vorteile wie die Reduzierung von Kosten oder die Erhöhung von Flexibilität und Skalierbarkeit. Und auch die Sicherheit muss dabei nicht zu kurz kommen. Eine elementare Voraussetzung ist allerdings, dass Sicherheit von Anfang an elementarer Bestandteil der Prozess-kette ist und alle Anmeldedaten zuverlässig geschützt werden.
* Christian Goetz ist Director of Presales DACH bei CyberArk.
(ID:46829600)
:quality(80)/images.vogel.de/vogelonline/bdb/1944900/1944962/original.jpg "Kubernetes birgt mit Blick auf die Sicherheit einige Besonderheiten. (shane - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952200/1952282/original.jpg "Who is who: Bei einer Zero-Trust-Richtlinie gilt es, vor einem Zugriff jeden Benutzer bzw. jede Transaktion zu überprüfen. (Delphix)")