5 wichtige Schritte für DevOps-Sicherheit
Lori MacVittie, Principal Technical Evangelist bei F5 Networks, stellt grundlegende Maßnahmen zur Absicherung von Entwicklungsprozessen vor
(IINews) - München, 4. Juni 2019 – Viele DevOps-Konzepte basieren auf Containern und Microservices. Doch diese können zu neuen Sicherheitsrisiken führen. Zum Beispiel lässt sich die Container-basierte (runc) Schwachstelle CVE-2019-5736 mit „minimaler Benutzerinteraktion“ ausnutzen. Anschließend können Hacker Root-Level-Code auf dem Host ausführen.
Diese minimale Benutzerinteraktion lässt sich durch Beachtung einer einzigen, einfachen Regel verhindern: das Abschließen der Tür. Doch laut Studien gibt es immer mehr öffentlich zugängliche, containerisierte Umgebungen, die keine Authentifizierung benötigen. Das bedeutet, dass jeder Nutzer die Kontrolle übernehmen und bösartige Container installieren kann, um Zugriff auf Root-Ebene zu erhalten.
Zwar ist eine hohe Geschwindigkeit für den Erfolg in der digitalen Wirtschaft wichtig, aber das darf nicht dazu führen, dass grundlegende Sicherheitsregeln missachtet werden. Die folgenden fünf einfachen Schritte verbessern die Sicherheit, ohne die Geschwindigkeit zu beeinträchtigen.
1. Komponenten selbst hosten
Laut Studien bestehen 80 bis 90 Prozent der Anwendungen in Unternehmen aus Komponenten von Drittanbietern. Diese werden häufig von externen Standorten geladen und dabei von der Quellcodeanalyse ausgeschlossen. Eine Möglichkeit, die Runc-Schwachstelle auszunutzen, besteht jedoch in der Infiltrierung eines Containers, der ungeprüft geladen und in einer Anwendung verwendet wird. Ähnliches gilt für UX-Komponenten von Drittanbietern. Wenn möglich, sollten Unternehmen die Komponenten auf ihrer eigenen Website hosten, um das Risiko von Manipulationen zu verringern.
2. Komponenten prüfen
Komponenten von Drittanbietern können grundsätzlich Schwachstellen enthalten. Daher sollten sie in die Sicherheitsprozesse des Unternehmens integriert werden, zum Beispiel die Prüfung im Rahmen der CI/CD-Pipeline. Dabei ist immer der gesamte Code – egal wo er ausgeführt wird – auf mögliche Risiken hin zu scannen.
3. Türen schließen
Ob Web-, Anwendungs-, Datenbank- oder Middleware-Server oder auch Container-Orchestrierungsumgebung: In allen Fällen muss eine persönliche Authentifizierung für den Zugriff auf administrative Konsolen erforderlich sein. Dies gilt auch für alle öffentlichen Speicherorte und Cloud-Anwendungen.
4. Den Schlüssel verstecken
Wer eine Tür abgeschlossen hat, sollte den Schlüssel nicht auf die Fußmatte legen. Um Anwendungen und Prozesse vor unbefugtem Zugriff zu schützen, dürfen Anmeldeinformationen, Schlüssel oder Zertifikate nicht in öffentlich zugänglichen Speicherorten abgelegt werden.
5. APIs einbinden
Schnittstellen übertragen Benutzereingaben, doch diesen darf ein Unternehmen niemals vertrauen. Daher ist zu verhindern, dass APIs Daten einfach an interne Anwendungen oder Microservices weiterleiten. APIs müssen genauso wie Anwendungen immer geprüft und gesichert werden.
Natürlich gibt es viele weitere Möglichkeiten, um Anwendungen und die Umgebungen, in denen sie laufen, zu schützen. Doch diese funktionieren nicht, wenn die genannten fünf einfachen Schritte nicht als Basis umgesetzt werden. Da sie für die gesamte CI/CD-Pipeline gelten, muss DevOps diese Schritte in die Sicherheits-Checkliste aufnehmen.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Über F5 Networks
F5 (NASDAQ: FFIV) gibt den weltweit größten Unternehmen, Dienstleistern, Behörden und Verbrauchermarken die Freiheit, jede App sicher, überall und mit Vertrauen bereitzustellen. F5 bietet Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die von ihnen gewählte Infrastruktur zu nutzen, ohne Geschwindigkeit und Kontrolle zu beeinträchtigen. Weitere Informationen finden Sie unter f5.com. Sie können uns auch auf Twitter folgen oder uns auf LinkedIn und Facebook besuchen, um weitere Informationen über F5, seine Partner und Technologien zu erhalten.
F5 Networks
Claudia Kraus
Lehrer-Wirth-Straße 2
81829 München
Tel.: +49 89-94383-0
Fax: +49 89-94383-111
E-Mail: c.kraus(at)f5.com
http://f5.com/
Fink & Fuchs AG
Michaela Ferber und Kirsten Gnadl
Paul-Heyse-Straße 29
80336 München
Tel.: +49 89-589787-14
Fax: +49 89-589787-50
E-Mail: f5(at)finkfuchs.de
https://www.finkfuchs.de
Datum: 04.06.2019 - 10:56 Uhr
Sprache: Deutsch
News-ID 1726218
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Fink & Fuchs AG Fink & Fuchs AG
Stadt:
Wiesbaden
Telefon: 0611741310
Kategorie:
Allgemeines & Information
Anmerkungen:
Dieser Fachartikel wurde bisher 2349 mal aufgerufen.
Der Fachartikel mit dem Titel:
"5 wichtige Schritte für DevOps-Sicherheit
"
steht unter der journalistisch-redaktionellen Verantwortung von
Fink&Fuchs AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).