{"id":15705,"date":"2020-02-26T11:00:00","date_gmt":"2020-02-26T10:00:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15705"},"modified":"2020-02-19T12:05:28","modified_gmt":"2020-02-19T11:05:28","slug":"sicherheit-in-zeiten-der-microservices-sieben-tipps-von-radware","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15705","title":{"rendered":"Sicherheit in Zeiten der Microservices: Sieben Tipps von Radware"},"content":{"rendered":"\n

Wenn es um die Bereitstellung Cloud-basierter Anwendungen \u00fcber Microservices geht, stellen sich zwei prim\u00e4re Fragen: „Wie schnell ist schnell genug?“ und „Wie sicher ist sicher genug?“. Im Wettbewerb um den Kunden haben Unternehmen kaum noch Zeit, auf traditionelle Sicherheits\u00fcberpr\u00fcfungen zu warten, bevor sie Anwendungen einf\u00fchren oder verbessern.<\/p>\n\n\n\n

\"\"
Grafik: Radware<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die erste Priorit\u00e4t besteht darin, dass die Anwendungen die Kundenanforderungen erf\u00fcllen. Die Anwendungssicherheit spielt ebenfalls eine wichtige Rolle, aber sie darf der Agilit\u00e4t nicht im Wege stehen. Sicherheitsaspekte werden daher zunehmend in die DevOps-Teams verlagert, die sich als die Designer und \u00dcberwacher der agilen Netzwerk\u00f6kosysteme verstehen und die automatisierten kontinuierlichen Bereitstellungsprozesse erm\u00f6glichen. Diese Teams haben jedoch Priorit\u00e4ten, die im Widerspruch zu herk\u00f6mmlichen, abw\u00e4genden Sicherheitspraktiken stehen. Ihre Aufgabe besteht darin, schnell Anwendungen bereitzustellen, die die Gesch\u00e4ftsanforderungen unterst\u00fctzen. Zeit f\u00fcr umfassende Sicherheits\u00fcberpr\u00fcfungen ist dabei einfach nicht vorgesehen. Folglich k\u00f6nnen sich traditionelle IT- und Security-Teams von diesem Prozess ausgeladen f\u00fchlen.<\/p>\n\n\n\n

APIs als Schwachstellen<\/strong><\/p>\n\n\n\n

In einer Microservices-Architektur erfolgt die operative Kommunikation zwischen den verschiedenen Werkzeugen und Diensten \u00fcber APIs. „Solche APIs sind anf\u00e4llig f\u00fcr Fehler und Schwachstellen, die jedoch schwer zu erkennen sind und nur selten auffallen“, so Michael Tullius, Managing Director DACH bei Radware. „Herk\u00f6mmliche Tools zur Bewertung der Anwendungssicherheit funktionieren nicht gut mit APIs oder sind in diesem Fall einfach irrelevant. Bei der Planung der API-Sicherheitsinfrastruktur m\u00fcssen Authentifizierung und Autorisierung ber\u00fccksichtigt werden, doch werden diese Aspekte oft nicht richtig behandelt.“ Mikroservice-Architekturen entsprechen dem Bed\u00fcrfnis von Organisationen nach Geschwindigkeit, aber die Kehrseite der Medaille sind neue Sicherheitsherausforderungen. Dazu sieben Tipps von Radware:<\/p>\n\n\n\n

  1. Es sollte Risikomanagement implementiert werden, das den gesch\u00e4ftlichen Triebkr\u00e4ften bei der Gestaltung von Sicherheitsrichtlinien Vorrang einr\u00e4umt. Der Ansatz „Sicherheit um jeden Preis“ wird wahrscheinlich ein inakzeptables Ma\u00df an Fehlalarmen erzeugen. Die Sicherheit sollte dem gleichen Entwicklungszeitplan folgen wie die Produktentwicklung.<\/li>
  2. Es muss Klarheit \u00fcber die Rollen f\u00fcr die Anwendungssicherheit geben. Eine klare Verantwortlichkeit bef\u00e4higt die richtigen Teams, die Verantwortung f\u00fcr Entscheidungen \u00fcber das akzeptable Risikoniveau und die Strategien zum Schutz von Anwendungen zu \u00fcbernehmen.<\/li>
  3. Eine Sicherheitsl\u00f6sung sollte in allen Netzwerkumgebungen, sowohl im \u00f6ffentlichen als auch im privaten Bereich, einen einheitlichen „Point of Visibility“ bieten. Das Vertrauen auf L\u00f6sungen von Anbietern \u00f6ffentlicher Clouds hinterl\u00e4sst blinde Flecken in der Sicherheitslage, die Angreifer ausnutzen k\u00f6nnen.<\/li>
  4. Die Sicherheitsl\u00f6sung muss sich in das bereits vorhandene \u00d6kosystem einf\u00fcgen, ohne dass Anpassungen erforderlich sind, wie zum Beispiel die \u00c4nderung im Routing des Traffics, die Vorlage von SSL-Zertifikaten oder die \u00c4nderung von IP-Adressen.<\/li>
  5. Es hilft, den Open-Source-Charakter von Cloud-nativen Anwendungen zu nutzen, um Telemetrie-Informationen \u00fcber Verkehrsvolumen, Nutzung von Anwendungen, Leistungsprobleme, geographische Verteilung der Benutzer und die Art der verarbeiteten Daten zu aggregieren. Diese Informationen erm\u00f6glichen eine Analyse des Verhaltens, um eine bessere Visibility in das Geschehen auf allen Plattformen zu erhalten.<\/li>
  6. Alle Kan\u00e4le, \u00fcber die die Anwendungen bereitgestellt werden, m\u00fcssen sicher sein. Das bedeutet, dass die APIs sowie Web- und Mobildienste vor Angriffsvektoren wie Protokollmanipulation, Datenmanipulation in Servern und Angriffen auf Sitzungen und Zugangsdaten gesch\u00fctzt werden m\u00fcssen.<\/li>
  7. Die Sicherheitsarchitektur sollte skalierbar und elastisch sein, um sich an sich \u00e4ndernde Gesch\u00e4ftsanforderungen anpassen zu k\u00f6nnen. Eine weitgehende Automatisierung der \u00dcberwachung und der Abwehr von Angriffen im gesamten \u00d6kosystem ist erforderlich, um den kontinuierlichen Bereitstellungsprozess von Anwendungen zu unterst\u00fctzen.<\/li><\/ol>\n\n\n\n

    Weitere Informationen: www.radware.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    Wenn es um die Bereitstellung Cloud-basierter Anwendungen \u00fcber Microservices geht, stellen sich zwei prim\u00e4re Fragen: „Wie schnell ist schnell genug?“ und „Wie sicher ist sicher genug?“. Im Wettbewerb um den Kunden haben Unternehmen kaum noch Zeit, auf traditionelle Sicherheits\u00fcberpr\u00fcfungen zu warten, bevor sie Anwendungen einf\u00fchren oder verbessern.<\/p>\n","protected":false},"author":3,"featured_media":15706,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[6257,10980,4602,8759,5825,2179],"class_list":["post-15705","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-cloud","tag-design","tag-devops","tag-microservice","tag-radware","tag-uberwachung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15705","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15705"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15705\/revisions"}],"predecessor-version":[{"id":15707,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15705\/revisions\/15707"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15706"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}