:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit und Anwendungsentwicklung 4 Tipps zur Sicherheit in DevOps-Prozessen
Immer mehr Unternehmen entwickeln eigene Geschäftsanwendungen und Apps für Geschäftsprozesse und Kunden. Bei der Entwicklung sollten alle Abteilungen zusammenarbeiten. Gemeinsam können Entwicklungs-, App-Delivery- und IT-Security-Team die Sicherheit der Geschäftsanwendungen verbessern und gleichzeitig Zeit und Kosten für die Behebung und Vermeidung von Problemen einsparen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Um zu verdeutlichen, wie dieser Ansatz in der Praxis funktionieren kann, hilft es, ein typisches DevOps-Szenario genauer zu betrachten. In diesem Fall hat das Team der Entwickler eine bestehende Geschäftsanwendung um neue Funktionen ergänzt und bringt die aktualisierte Anwendung auf den Markt. Während die aktualisierte Applikation sowohl in Test- als auch in Vorproduktionsumgebungen funktioniert, entstehen in der Produktionsumgebung jedoch Probleme. Jetzt ist in der Regel die Frage, was schiefgelaufen ist und wie lässt es sich wieder in Ordnung bringen?
Ein häufiger Grund für solche Ausfälle ist, dass die neuimplementierten Funktionen neue Verbindungen zu Netzwerkressourcen erfordern und diese in der Live-Produktionsumgebung blockiert sind. Dies passiert besonders oft, wenn die Sicherheitsrichtlinien in den Entwicklungs-, Test- und Vorproduktionsumgebungen lockerer als im allgemeinen Netzwerk gehalten werden. Die Netzwerkfilter oder Gateways, die in der Produktion üblicherweise installiert sind, gibt es in der Test- oder Vorproduktionsumgebung in vielen Fällen nicht. Einerseits wird so die Entwicklung der Anwendung vereinfacht, weil weniger Verbindungen berücksichtigt werden müssen, andererseits stimmt diese Umgebung nicht die spätere Realität ab – in der Entwicklungs- und Testumgebungen funktioniert alles perfekt, aber im Anwendungsfall blockieren die zusätzlichen Sicherheitsmaßnahmen die Verbindung zu Ressourcen, die für das neue Programm vorausgesetzt werden, damit es funktioniert.
Generell sollten vier Dinge berücksichtigt werden, um solche auf der Konnektivität basierende Ausfälle zu vermeiden, sobald die Anwendungen von der Test- und Vorproduktionsumgebung in die Live-Produktionsumgebung verschoben werden:
Dokumentation der erforderten Verbindungen der Anwendung. Es ist wichtig, die Verbindungen und Netzwerkressourcen zu dokumentieren, die eine neue Anwendung benötigt. Das Entwicklungsteam sollte ein aktuelles Repository aller relevanten Verbindungen pflegen. Dazu gehören auch IP-Adressen von Quelle und Ziel der einzelnen Netzwerkgeräte und -Ressourcen sowie Dienste und Netzwerkfunktionen, die zwischen der Anwendung und externen Ressourcen vermitteln.
Aktualisierung der Audits, wann immer Änderungen vorgenommen werden. Eine Aktualisierung der Audits sollte vorgenommen werden, wann immer Funktionen hinzukommen, die neue Verbindungen zu den besagten Ressourcen erfordern. Hierbei kann eine Lösung, die diese Aktualisierungen automatisch vornimmt, gewährleisten, dass alle Änderungen schnellstmöglich der Prüfung durch das Sicherheitsteam unterzogen werden – am besten noch während des Entwicklungszyklus.
Verschärfung der Sicherheit im Rahmen von Tests und Vorproduktion. Es ist empfehlenswert, die Sicherheitsmaßnahmen in den Test- und Vorproduktionsumgebungen zu verschärfen, sodass beide Umgebungen die Live-Produktionsumgebung hinsichtlich Funktionalität, Netzwerktopologie und Richtlinien zur Filtrierung bestmöglich imitieren. Selbst wenn das Entwicklungsteam vergisst, neue Verbindungen zu dokumentieren oder nicht erkennt, dass ein neuer Zugriff auf eine Ressource benötigt wird, werden auf diese Weise sehr viele Probleme bereits in einer frühen Test- und Vorproduktionsphase erkannt, und nicht erst in der Live-Umgebung. Es spart Zeit und verhindert Unterbrechungen im Geschäftsalltag, solche Probleme zu lösen, bevor die Anwendung in die volle Produktion verschoben wird.
Adressänderungen, wenn Anwendungen verschoben werden. Wenn die Test- und Vorproduktionsumgebungen so geschaffen sind, dass sie der späteren Produktionsumgebung möglichst ähnlich sind, gilt es einen wichtigen Punkt nicht außer Acht lassen: Im Repository der von der Anwendung genutzten Verbindungen sollte eine separate Aufzeichnung für jede Anwendung in jeder einzelnen Umgebung vorhanden sein. Der Grund dafür ist, dass die Anwendung über den gleichen logischen Aufbau und die gleichen Dienste verfügt, wie Server, Datenbanken und anderen Ressourcen, jedoch andere IP-Adressen als die Server und Datenbanken in den anderen Umgebungen hat.
Wenn die Anwendung dann zwischen den Phasen des Lebenszyklus von der Entwicklung zur Produktion migriert wird, ist es nötig, dafür zu sorgen, dass die Sicherheitsrichtlinien für die nächste Phase den erforderlichen Datenverkehr erlauben. Dabei handelt es sich nicht um ein einfaches Kopierverfahren: in den Regelungen und Richtlinien der vorherigen Phase müssen alle IP-Adressen durch die neuen Adressen für die neue Phase ersetzt werden. Eine Richtlinienautomatisierung, die DevOps-Methodologien unterstützt, kann diesen Prozess in allen neuen Umgebungen im DevOps-Lebenszyklus automatisch verwalten.
Wird Sicherheit frühzeitig in den DevOps-Prozess integriert, können Organisationen die Geschwindigkeit und Agilität der Anwendungsentwicklung maximieren, die der Prozess verspricht, und gleichzeitig die Gefahr von Problemen und Ausfällen minimieren, wenn die Anwendungen live gehen.
Über den Autor: Roland Messmer ist Sales Director Central Europe bei AlgoSec.
(ID:45415409)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")