DevSecOps

Integration von Applikations- und API-Sicherheit

Von DevOps zu DevSecOps

APIs und Webanwendungen werden immer agiler entwickelt und dank DevOps rascher ausgerollt denn je. Damit die Sicherheit nicht zum Bremsklotz wird, ist ein Shift Left notwendig. Die automatischen Sicherheits-Checks in der Entwicklung reichen allerdings nicht aus. Für umfassende Sicherheit von APIs und Anwendungen braucht es gleichzeitig einen Shield Right.

Shift Left

Warum muss Security den "Shift Left" vollziehen?

Anwendungssicherheit wird oft sehr spät adressiert. Daraus entstehen allzu häufig Verzögerungen kurz vor dem produktiven Roll-out. Zunehmende Agilität und immer kürzere Releasezyklen verstärken dieses Problem noch
Das Shift-Left Sicherheitsmodell versucht, mögliche Schwachpunkte bereits früher zu erkennen — zum Beispiel dort, wo sie entstehen:  in der Softwareentwicklung!

Beispiel: Wenn ein Entwickler schon während dem Programmieren darauf hingewiesen wird, dass sein neuer Code problematisch ist, kann er das recht schnell lösen. Wenn das gleiche Problem erst bei einem Penetration Test aufgedeckt wird, entsteht daraus eine weit grössere Verzögerung.

Damit Ideen schnell ausprobiert und Feedback früh eingeholt werden kann, arbeiten Entwicklung, Security und Betrieb gemeinsam im gleichen Team. Dabei werden Security-Tools automatisch in jede Phase des Software-Entwicklungs-Lebenszyklus eingebunden. Das Resultat: sichere Software mit der Geschwindigkeit von Agile und DevOps. Security wird damit Kostensparer und Beschleuniger zugleich.
Was das mit einem Linksrutsch zu tun hat, erfahren Sie in unserem Blogartikel "Linksrutsch in der Sicherheitskultur".

Blogartikel lesen

Was muss dafür in der Entwicklung berücksichtigt werden?

Automatisierung des Security Testing

  • Software Composition Analysis (SCA): Warnung vor bekannten Schwachstellen in Open Source Bibliotheken und anderem fremden Code
  • Static Application Security Testing (SAST): Untersuchung des Quellcodes auf Anti-Patterns und typische Schwachstellen (White Box).
  • Dynamic Application Security Testing (DAST): Eine laufende Anwendung wird von aussen auf Schwachstellen untersucht (Black Box).

Shift Left ist nur die halbe Wahrheit

Shift Left reduziert die Zeit und den Aufwand zur Behebung vieler Sicherheitsprobleme. Das reicht allerdings nicht aus für einen vollständigen Schutz vor sämtlichen Angriffsvektoren:

  • Shift Left ist auf bekannte Schwachstellen und typische Programmierfehler ausgerichtet.
  • Bis eine bekannte Schwachstelle behoben ist, dauert es im Durchschnitt 200 Tage (!)
  • Security Testing schützt nicht gegen "unerwünschte Besucher" wie Bots, Vulnerability Scanner oder DoS-Angriffe.

Shield Right

Was bedeutet "Shield Right"?

Mit Shield Right wird das Bestreben bezeichnet, die APIs und Anwendungen auch im Betrieb umfassend zu schützen. Das wird durch eine Kombination von Sicherheits-Bausteinen erreicht:

  • Web Application and API Protection (WAAP): Umfassender Laufzeitschutz gegen verschiedenste Angriffsvektoren durch WAFs und API Gateways
  • Identity and Access Management (IAM) + 2FA: Benutzerfreundliche und starke Authentifizierung, damit sich Hacker nicht einfach einloggen können (z.B. mit gestohlenen Passwörtern).

Warum braucht es den "Shield Right"?

  • Laufzeitschutz überbrückt die Zeit bis zum vollständigen Patch.
  • Eine Moderne WAAP-Lösung kann sogar unbekannte Angriffe vereiteln.
  • Die Wiederverwendung von Standard Security-Bausteinen sorgt für grössere Entwicklungsgeschwindigkeit und Agilität

Worauf muss ich bei "Shield Right" speziell achten?

Shift Left und Shield Right ergänzen sich gegenseitig und sorgen für einen Rundum-Anwendungs-Schutz über alle Phasen des Software-Lebenszyklus hinweg. Damit zwischen den beiden Initiativen keine Lücke entsteht, muss der Laufzeitschutz möglichst früh integriert werden (Link auf Vorteile unten).

WAAP meets DevSecOps:

Microgateways für agilen Anwendungsschutz

Klassische Application Firewalls und API Gateways werden meist zentral betrieben und sind oft nicht kompatibel mit modernen DevSecOps-Prinzipien. Unter diesen Umständen fällt es den Anwendungs-Teams schwer, mehr Verantwortung für die Sicherheit zu übernehmen. Damit der Anwendungsschutz in agilen Unternehmen die volle Wirkung entfalten kann, werden vermehrt Microgateways eingesetzt. Airlock Microgateway ist eine leichtgewichtiges WAAP-Lösung, welche speziell für den Einsatz in Container-Umgebungen konzipiert wurde.

Vorteile von Microgateways

  • Maximale Autonomie für Anwendungs-Teams: Entwickler und DevSecOps-Engineers erhalten die volle Kontrolle über anwendungsspezifische Sicherheitsregeln. Bei einer Aktualisierung der Anwendung werden die angepassten Sicherheitsregeln gleichzeitig und autonom ausgerollt.
  • Keine teuren Verzögerungen kurz vor dem Release: Das leichtgewichtige Microgateway sorgt bereits während der Entwicklung und im Testumfeld für einen effektiven Anwendungsschutz. Damit erkennen Sie Integrationsprobleme früher und vermeiden späte Überraschungen.
  • Infrastructure + Security as Code sind Voraussetzung für die Automatisierung und Einbettung der Sicherheit in CI/CD-Pipelines. Alle Änderungen an den Sicherheitsregeln erfolgen damit kontrolliert, nachvollziehbar und bei Bedarf auch automatisch.
  • Zero Trust: Microgateways sorgen für eine effektive Umsetzung des Zero-Trust-Prinzips, indem sie die Sicherheitsprüfungen weg vom Perimeter, hin zu den Applikationen verlagern.

 

Sie sind Developer? Testen Sie das Airlock Microgateway gleich in der Community Edition.

Sie wollen mehr über DevSecOps erfahren? Lesen Sie unser Whitepaper

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Whitepaper DevSecOps anfordern

Sie interessieren Zero Trust Ansätze? Lesen Sie unser Whitepaper

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben aus. Erfahren Sie über die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen auf die moderne Informationstechnologie.

Whitepaper Zero Trust anfordern

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern