IT-Management Oktober 2021

Weitere Magazine

Empfehlungen

Info

26 | IT INFRASTRUKTUR DEVSECOPS PIPELINE EVERYTHING-AS-CODE – ANYTHING SECURE? QUO VADIS? Die Softwareentwicklung befindet sich im Umbruch: Beflügelt durch die digitale Transformation erscheinen agile Konzepte und DevOps Ansätze unumgänglich, um mit den Anforderungen eines sich immer schneller verändernden Marktumfeldes Schritt halten zu können. Die aktuelle Corona-Situation hat diesen Trend in den letzten Monaten sogar noch verschärft. Der Druck auf Unternehmen, innerhalb kürzester Zeit flexible digitale Geschäftsmodelle voranzutreiben, steigt und wird zum kritischen Erfolgsfaktor im globalen Wettbewerb. Gleichzeitig durchdringt Quellcode zunehmend etablierte Systemlandschaften und -architekturen. Der Trend scheint klar: „Everything is code and code is law“. Aus großer Macht folgt große Verantwortung Mit diesem Bedeutungszuwachs einhergehend wächst jedoch auch die Verantwortung von Softwareentwicklern in Hinblick auf nicht-funktionale (Security-)Anforderungen. Denn auch die Anzahl von Cyber-Attacken und Sicherheitsvorfällen steigt seit Jahren kontinuierlich. Es stellt sich die Frage, wie gut Entwickler von heute in Bezug auf die Schaffung der zukunftsfähigen und sicheren Infrastrukturen von morgen vorbereitet sind. Ein guter Indikator hierfür ist das Top 10 Projekt der OWASP Foundation, welches die kritischsten Schwachstellen in Web Applikationen in regelmäßigen Abständen dokumentiert. Der direkte Vergleich des aktuellen Release mit der vorherigen Version des Benchmarks stimmt aus Security Sicht leider nur bedingt optimistisch: KRITISCHE SCHWACHSTELLEN IN WEB APPLIKATIONEN OWASP Top 10 – 2013 â OWASP Top 10 – 2017 A1 – Injection Ú A1:2017 – Injection A2 – Fehler in Authentifizierung und Session Mgmt Ú A3 – Cross Site Scripting (XSS) A4 – Unsichere direkte Objektreferenzen [mit A7] à A5 – Sicherheitsrelevante Fehlkonfiguration à A6 – Verlust der Vertraulichkeit sensibler Daten Þ A7 – Fehlerhafte Autorisierung auf Anw.- Ebene [mit A4] A8 – Cross Site Request Forgery (CSRF) U U A9 – Nutzung von Komponenten mit bekannten Schwachstellen Ú A10 – Ungeprüfte Um- und Weiterleitungen A2:2017 – Fehler in der Authentifizierung A3:2017 – Verlust der Vertraulichkeit sensibler Daten A4:2017 – XML External Entities (XXE) [NEU] A5:2017 – Fehler in der Zugriffskontrolle [vereint] A6:2017 – Sicherheitsrelevante Fehlkonfiguration A7:2017 – Cross-Site Scripting (XSS) A8:2017 – Unsichere Deserialisierung [NEU, Community] A9:2017 – Nutzung von Komponenten mit bekannten Schwachstellen A10:2017 – Unzureichendes Logging Moniting [NEU, Community] (Quelle: https://owasp.org/www-pdf-archive/OWASP_Top_10-2017_%28en%29.pdf.pdf DIE WICHTIGSTEN SCHRITTE ZUM AUFBAU EINER SICHEREN CI-/CD-PIPELINE SIND UND BLEIBEN DER WISSENS- AUFBAU IM BEREICH SECURITY BEI ALLEN INVOLVIERTEN SOFTWAREENTWICKLERN SOWIE DIE SENSIBILISIERUNG FÜR RISIKEN UND SCHWACHSTELLEN. Jan Sudmeyer, Managing Partner, carmasec GmbH & Co.KG, www.carmasec.com www.it-daily.net
IT INFRASTRUKTUR | 27 Auch wenn sich das Risikoprofil in einigen Bereichen verbessert oder zumindest verschoben hat, zählen zum Beispiel Cross-Site Scripting (XSS) und die Nutzung unsicherer (3rd Party) Komponenten noch immer zu den häufigsten Schwachstellen moderner Web Applikationen. Dies mag einerseits auf fehlende Expertise oder mangelndes Bewusstsein für Sicherheitsaspekte innerhalb der Softwareentwicklung zurückzuführen sein. Andererseits nehmen jedoch auch die Komplexität und technische Abhängigkeiten rasant zu, so dass sich das Gesamtbild teilweise nur noch schwer überblicken lässt. Zudem werden Dienste in modernen Architekturen durch das Zusammenspiel einer Vielzahl von Microservices erbracht, die häufig von verschiedenen Entwicklerteams oder Drittanbietern beigesteuert werden. Was tun? Die wichtigsten Schritte zur Bewältigung dieser Herausforderungen sind und bleiben die Sensibilisierung für Risiken und Schwachstellen sowie der Wissensaufbau im Bereich Security bei allen involvierten Softwareentwicklern. Weiterhin sollten Security-Tools möglichst frühzeitig in die CI/CD Pipeline integriert werden („Shift Left“). Die Zusammenstellung eines geeigneten Security-Toolsets gestaltet sich nicht ganz trivial: Zwar existiert schon eine Vielzahl von Lösungen für die verschiedenen Phasen des Entwicklungszyklus, einen groben Überblick der gängigsten Tools bietet beispielsweise die Checkliste zum Thema „Cloud Security DevSecOps Practices“ des SANS Institute. Dabei handelt es sich jedoch vielfach um Insellösungen. Die Auswahl und Integration geeigneter Tools ist häufig schwierig. Dieser Herausforderung stellen wir uns im zweiten Teil dieses Artikels. Der Use Case In unserem Lab-Projekt zeigen wir auf, wie sich die Sicherheit von Sourcecode mit einfachsten Mitteln und Open Source Tools erhöhen lässt. Wir erläutern unser Vorgehen dabei Schritt für Schritt, sämtliche Ressourcen stehen als GitLab-Repository zur Verfügung: https://gitlab.com/carmasec_public/ Everything-as-Code-Anything-secure DIE INTEGRATION EINES BASISSETS VON (OPEN SOURCE) SECURITY-TOOLS MUSS NICHT AUFWÄNDIG SEIN. SIE LÄSST SICH BEREITS MIT EINFACHEN MITTELN IN DER ENTWICKLUNGSPIPELINE REALISIEREN UND LIEFERT DABEI EINEN KLAREN MEHRWERT. Kevin Kloft, Security Solution Architect, carmasec GmbH & Co.KG, www.carmasec.com www.it-daily.net
Seite 1 und 2: OKTOBER 2021 INKLUSIVE 48 SEITEN IT
Seite 3 und 4: EDITORIAL | 3 Immer gut informiert!
Seite 5 und 6: IT MANAGEMENT | 5 26 10 COVERSTORY
Seite 7 und 8: TRENDS | 7 AKTUELLE STUDIE DIGITALI
Seite 9 und 10: TRENDS | 9 RECHENZENTREN STATUS QUO
Seite 11 und 12: COVERSTORY - IT MANAGEMENT | 11 Ulr
Seite 13 und 14: MICROSOFT 365 & AZURE GERÄUSCHLOS
Seite 15 und 16: CHECKLISTE: IT MANAGEMENT | 15 gen
Seite 17 und 18: IT MANAGEMENT | 17 verlässigkeit i
Seite 19 und 20: von Workloads anstoßen, ihre IT-Um
Seite 21 und 22: IT MANAGEMENT | 21 wurde, waren seh
Seite 23 und 24: IT MANAGEMENT | 23 upgraden? Tatsä
Seite 25: IT MANAGEMENT | 25 (kurz: BaSys 4.0
Seite 29 und 30: IT INFRASTRUKTUR | 29 Die übrigen
Seite 31 und 32: eBUSINESS | 31 werden. Der Entwickl
Seite 33 und 34: eBUSINESS | 33 Die sechs Erfolgsfak
Seite 35 und 36: NEW WORKING WORLD Digitalevent | 11

IT-Management Oktober 2021

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?