Sicherheitsrisiken bei DevOps-Prozessen

Integraler Schutz für agile Prozesse

Spricht man über Container und die „serverless“ Welt, steht normalerweise deren enormes Potenzial im Mittelpunkt. Das Thema „Sicherheit“ kommt dabei aber oftmals zu kurz.

Footballspieler

Agilität in der Software-Entwicklung erfordert spezielle Vorsichtsmaßnahmen.

Trotz des Einsatzes modernster Technik werden zurzeit immer häufiger neue Datenlecks bekannt. Das Problem ist in keinem Fall auf Absicht oder auf besondere Fahrlässigkeit zurückzuführen. Es liegt in den grundlegenden Prozessen von DevOps. So ist es in den letzten Jahren immer häufiger zu riesigen Breaches gekommen, bei denen auf einen Schlag Millionen Datensätze „verloren“ gegangen sind. Dafür kann es laut Trend Micro mehrere Gründe geben:

1. Bei der Einbindung von Containern oder Code von Dritten wird oft übersehen, dass auch diese nicht alle Software-Komponenten selbst entwickelt, sondern ebenfalls Bausteine miteinander verbunden haben. So entstehen weitere Abhängigkeiten zu anderen Bibliotheken.

2. Natürlich kommt es auch vor, dass Bausteine veralten und beispielsweise Sicherheitslücken in Programmbestandteilen gefunden werden, die im klassischen Sinne gepatcht werden müssen.

3. Passwörter und Fehlkonfigurationen bleiben auch in diesem Bereich ein Problem. Zugänge zu Daten müssen (z.B. durch Passwörter) eingegrenzt werden.


4. Eine bewusst unsaubere Programmierung wird akzeptiert: Es passiert leider nur allzu häufig, dass klassische „Workarounds“, also schnelle Übergangslösungen, in die Produktion aufgenommen werden.

Mit der Zunahme von DevOps und den daraus entstandenen Applikationen gibt es auch immer mehr Akteure, die dieses System für ihre Zwecke ausnutzen. So werden beispielsweise Passwörter gestohlen, Entwicklungen sabotiert, bösartige Container angeboten und Codes auf Lücken untersucht. Daraus Profit zu schlagen, erhöht die Kreativität der Cyberkriminellen.

Dies ist ein Artikel aus unserer Print-Ausgabe 3/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Direkte Integration erforderlich

IT-Sicherheit im herkömmlichen Sinne ist dabei nicht zu gewährleisten. Gängige Methoden aus dem Office-Umfeld sind zu starr, um in diesem flexiblen, auf Geschwindigkeit ausgerichteten Bereich zu bestehen. IT-Security muss deshalb integraler Bestandteil der DevOps-Chain sein und darf nicht monolithisch von außen nur punktuelle Zwischen- und Endergebnisse betrachten. Um dies zu erreichen, muss sie sich direkt in den DevOps-Prozess integrieren lassen. Fast zwangsläufig ergibt sich daraus die Notwendigkeit, dass sie genauso wie alles andere ebenfalls als Code vorliegen muss, der sich einfach integrieren lässt.

Die Bereitstellung erfolgt dabei über eine Bibliothek, die mittels Code-Zeile in die Anwendung integriert wird. Dadurch entsteht normalerweise keine Notwendigkeit, den Entwicklungs-Code zu ändern. Sicherheit ist automatisch bei Anwendung aktiv und muss nicht mühsam über ein Software Development Kit (SDK) eingebaut werden.

Natürlich geht es nicht nur darum, wie Sicherheit in diesen Bereich integriert wird, sondern auch darum, was sie leistet. Hier gibt es verschiedene Ansätze, die – je nach Iteration – unterschiedlichen Notwendigkeiten folgen müssen. So ist ein automatisierter Review der verwendeten Komponenten als Teil der Testphase ein wichtiges Element der Qualitätssicherung, kann aber nicht alle Sicherheitsherausforderungen im späteren Betrieb abdecken. Ein integraler Schutz der Anwendung zur Laufzeit, eine IPS-Funktionalität oder die Erkennung von Schadcode in Daten, ohne Abhängigkeiten zur Bereitstellungsplattform oder -infrastruktur, sind eine wirkungsvolle Ergänzung – Stichwort „Selfdefending Application“.

Damit IT-Sicherheit die Vorteile der mit DevOps erreichten Optimierungen nicht gefährdet, muss sie in das Konzept hinein gecodet werden. Das hat nicht nur den Vorteil, dass sie dadurch wie andere Bauteile auch universell einsetzbar ist, sondern sogar bis auf Code-Ebene begleiten kann. Moderne Sicherheitskonzepte betrachten dabei ebenfalls die Compliance. Dem strikten Automatisierungsgedanken folgend, wird auch die Überprüfung auf Vorgaben integriert und zeigt mögliche Risiken und deren Auswirkungen auf. Auch hier wird aus der Notwendigkeit eine Tugend, wodurch die Win-Win-Win-Situation einer sicheren DevOps-Struktur erreicht wird.

Bildquelle: Gettyimages/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok