Neue Ansprüche an sichere Entwicklung

Application Security in Zeiten der Microservices

| Redakteur: Stephan Augsten

Viele kleine, wiederverwendbare Dienste können die Anwendungsentwicklung vereinfachen, haben aber auch ihre Tücken.
Viele kleine, wiederverwendbare Dienste können die Anwendungsentwicklung vereinfachen, haben aber auch ihre Tücken. (Bild: geralt - Pixabay.com / CC0)

Die Entwicklung von Microservices anstelle monolithischer Applikationen kann sich auf lange Sicht auszahlen. Hinsichtlich der Anwendungssicherheit gibt es aber einige Herausforderungen, warnt Veracode.

Hat ein Unternehmen einmal die Strukturen geschaffen, konsequent Microservices zu entwickeln, ergeben sich einige Vorteile. Mikrodienste lassen sich beispielsweise mehrfach in verschiedenen Anwendungen nutzen. Statt also beispielsweise vier Apps mit jeweils einer eigenen Zahlungsabwicklung zu entwickeln, wird die Komponente nur einmal programmiert und von mehreren Applikationen verwendet.

Dadurch ergibt sich auch eine einfachere Wartung: Wenn ein Teil der Lösung veraltet ist oder Funktionsstörungen auftreten, muss nur ein kleiner Service aktualisiert oder ersetzt werden. Gegenüber monolithischer Software ist das ein großer Vorteil, denn hier können schon kleinste Veränderungen unberechenbare Auswirkungen haben.

Unternehmen profitieren außerdem von einem höheren Entwicklungstempo., da sich kleine Änderungen in einer Microservices-Architektur zügig planen, testen und implementieren lassen. Neue Funktionen können also schneller in Produktion gehen.

Insbesondere diese Beschleunigung ist aber auch Grund für neue Sicherheitsherausforderungen. Veracode nennt die drei wichtigsten Reibungspunkte hinsichtlich Application Security:

  • Streben nach Hochgeschwindigkeit: Der Umstieg auf Microservices ist häufig ein Kernelement bei der Einführung von DevOps. Denn mit dem Application-Security-1.0-Ansatz – der Code wird zur Analyse an ein Sicherheitsteam geschickt und dieses liefert anschließend einen Report – bleibt entweder die Geschwindigkeit oder die Sicherheit auf der Strecke. Beides ist für eine DevOps-Kultur unakzeptabel, verspricht diese doch, qualitativ hochwertige – und umfassend gesicherte – Software schnell auf den Markt zu bringen. Das ist jedoch nur möglich, wenn die Anwendungssicherheit Softwaretests automatisiert und mit schnellen Feedbackschleifen ins DevOps-Konzept integriert.
  • Zentralisierte Sicht: Der Umstieg auf Microservices bedeutet für ein Application-Security-Team, dass es mehr – wenn auch kleinere – Anwendungen verwalten muss. Was vordem eine einzige Anwendung war, besteht nun aus Dutzenden von Microservices. Das stellt auch kleine und mittelständische Unternehmen vor eine Herausforderung, die große Firmen schon seit Jahren beschäftigt: Wie lässt sich ein effektives Anwendungssicherheitsprogramm nach Maß betreiben? Hier wird deutlich, wie wichtig eine leicht skalierbare Lösung ist, die eine zentrale Sicht ermöglicht und damit Compliance, die Pflege des Inventars sowie eine kennzahlengestützte Überwachung sicherstellt.
  • Technologisch Schritt halten: Einer der größten Vorteile von Microservices ist, dass genau die Technologie zum Einsatz kommt, die eine bestimmte Anforderung erfüllt. Entwicklungsteams sind immer seltener auf einzelne Programmiersprachen spezialisiert. Neben Java nutzen sie auch Scala oder Node.js und beginnen, sich darüber hinaus beispielsweise GO anzueignen. Solch ein agiles Entwicklungsteam braucht ein agiles Sicherheitsprogramm, das seinen Support laufend auf zusätzliche Frameworks, Programmiersprachen und Integrationspunkte ausweitet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44980916 / Sicherheitslücken)