{"id":18485,"date":"2021-03-27T11:38:00","date_gmt":"2021-03-27T10:38:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18485"},"modified":"2021-03-23T09:46:17","modified_gmt":"2021-03-23T08:46:17","slug":"applikationen-in-komplexen-cloud-umgebungen-absichern","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18485","title":{"rendered":"Applikationen in komplexen Cloud-Umgebungen absichern"},"content":{"rendered":"\n

Autor\/Redakteur: Andreas Berger, Lead Product Engineer bei Dynatrace<\/a>\/gg<\/p>\n\n\n\n

Klassische Ans\u00e4tze f\u00fcr den Schutz von Anwendungen reichen heute nicht mehr aus. Denn f\u00fcr deren Entwicklung und Bereitstellung nutzen Unternehmen immer mehr Cloud-native Technologien wie Kubernetes und OpenShift. Aktuelle Application-Security-L\u00f6sungen bieten eine umfassende Observability mit Automatisierung und KI, damit alle produktiven Systeme auch in hochdynamischen Umgebungen sicher laufen.<\/p>\n\n\n\n

\"\"<\/a>
Moderne Cloud Application-Security-L\u00f6sungen bieten f\u00fcr jede Schwachstelle KI-basiert eine \u00dcbersicht mit den wichtigsten Informationen und einer ersten Risikoeinsch\u00e4tzung (Grafik: Dynatrace)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Cloud-native Plattformen und DevOps-Prozesse beschleunigen deutlich die Entwicklung von Anwendungen. Doch neben einer h\u00f6heren Dynamik f\u00fchren sie auch zu mehr Komplexit\u00e4t, die bestehende Ans\u00e4tze zur Application Security \u00fcberfordert. Diese konzentrieren sich nur auf den Netzwerk-Perimeter und wurden f\u00fcr klassische wasserfallbasierte Entwicklungsprozesse erstellt.<\/p>\n\n\n\n

Daher k\u00f6nnen sie weder mit der Flexibilit\u00e4t von Cloud-Services noch mit der hohen Geschwindigkeit von DevOps mithalten. So erkennen sie moderne Angriffsmethoden nicht, melden Fehlalarme und erzeugen einen zeitlichen Engpass f\u00fcr die Entwicklungsprozesse. Dies kann dazu f\u00fchren, dass DevOps-Teams die vorgeschriebenen Security-Tests abk\u00fcrzen oder gar umgehen, um ihre knappen Zeitpl\u00e4ne einzuhalten. Entsprechend bleiben zum Beispiel immer mehr Schwachstellen offen, die durch Open-Source- und Drittanbieter-Bibliotheken eingef\u00fchrt werden.<\/p>\n\n\n\n

Insofern erstaunt es nicht, dass 46 Prozent der Unternehmen Sicherheits- und Compliance-Bedenken als prim\u00e4re Herausforderungen beim Einsatz von Cloud-nativer Software wie Containern, Kubernetes und Serverless einstufen. Das ergab die Studie \u201eVoice of the Enterprise: DevOps, Workloads and Key Projects 2020\u201c von 451 Research.<\/p>\n\n\n\n

Alles in Echtzeit pr\u00fcfen<\/strong><\/p>\n\n\n\n

Unternehmen m\u00fcssen aber in Echtzeit \u00fcberpr\u00fcfen k\u00f6nnen, welche Applikationen in der Produktion laufen und s\u00e4mtliche Services st\u00e4ndig auf Schwachstellen untersuchen. Dazu ist eine moderne L\u00f6sung f\u00fcr Application Security notwendig, die f\u00fcr hybride Cloud-Umgebungen und Kubernetes-basierte Anwendungen entwickelt wurde. Mit Hilfe von KI kann sie sowohl in Open-Source- als auch Drittanbieter-Systemen automatisch und skalierbar Sicherheitsl\u00fccken identifizieren, bewerten und beheben. Dies gelingt in Kubernetes-Umgebungen nicht nur f\u00fcr Workloads, sondern auch die Plattform selbst, sowie f\u00fcr Anwendungen auf Java und Node.js. Moderne Security-L\u00f6sungen verkn\u00fcpfen die entdeckten Schwachstellen mit einzelnen Containern, um die Bewertung zu erleichtern und die Behebung zu beschleunigen.<\/p>\n\n\n\n

Eine solche Sicherheitsl\u00f6sung sollte f\u00fcr alle genutzten Umgebungen eine intelligente Observability bereitstellen. \u00dcber Funktionen f\u00fcr Runtime Application Self-Protection (RASP) analysiert sie kontinuierlich Anwendungen, Bibliotheken und Code-Laufzeit in der Produktion und Vorproduktion. Durch die Automatisierung und Eliminierung von Routineaufgaben haben Entwicklungsteams dann mehr Zeit f\u00fcr Innovationen.<\/p>\n\n\n\n

Dabei \u00fcberwacht eine KI-Engine permanent s\u00e4mtliche Produktions- und Vorproduktionsumgebungen. So kann sie alle \u00c4nderungen erkennen und in Echtzeit exakte Informationen zu Ursache, Art und Schweregrad der Schwachstellen geben. Sie eliminiert False Positives, priorisiert Alarme und stellt im ersten Schritt die wichtigsten Daten \u00fcbersichtlich auf einen Blick zur Verf\u00fcgung, damit Verantwortliche schnell reagieren k\u00f6nnen. Diese rufen dann bei Bedarf die detaillierten Daten auf, um den Kontext zu verstehen.<\/p>\n\n\n\n\n\n\n\n

Neue Gefahren automatisch erkennen<\/strong><\/p>\n\n\n\n

Wichtig ist es hierbei, die hohe Dynamik Cloud-nativer Technologien zu ber\u00fccksichtigen. Herk\u00f6mmliche Schwachstellen-Scanner zeigen nur eine statische Ansicht zu einem bestimmten Zeitpunkt. Moderne L\u00f6sungen erm\u00f6glichen dagegen Einsichten in die Laufzeit von Plattformen wie Kubernetes oder Container.<\/p>\n\n\n\n

Unternehmen ben\u00f6tigen eine vollst\u00e4ndige Observability \u00fcber alles, was von der Vorproduktion bis zur Produktion l\u00e4uft. Application-Security-L\u00f6sungen m\u00fcssen diese Einblicke bis hin zu einzelnen Transaktionen mit detaillierten Informationen auf Basis des Quellcodes bieten.<\/p>\n\n\n\n

Damit dies ohne gro\u00dfen Aufwand geschieht, sollten sie einige wichtige Eigenschaften besitzen wie zum Beispiel eine kontinuierliche, automatische Schwachstellenerkennung mit umfassender Laufzeittransparenz. Selbst wenn Teams Security-Tests nicht durchf\u00fchren, erkennt eine aktuelle L\u00f6sung so, was gerade l\u00e4uft und zeigt Schwachstellen in Echtzeit an. Detaillierte Einsichten in Open-Source, propriet\u00e4re Software und Container tragen dazu bei, dass auch selbstentwickelter Code, Open-Source-Bibliotheken sowie Transaktionen \u00fcber Anwendungen von Drittanbietern, auf deren Quellcode kein Zugriff besteht, sich \u00fcberpr\u00fcfen lassen. Ebenfalls sollte eine vollst\u00e4ndige Abdeckung von Rollbacks und \u00e4lteren Releases m\u00f6glich sein, um sogar Sicherheitsl\u00fccken zu erkennen, die versehentlich in Rollbacks wieder eingef\u00fchrt werden oder in veralteten Komponenten existieren.<\/p>\n\n\n\n

Risiken richtig einsch\u00e4tzen<\/strong><\/p>\n\n\n\n

Die Identifizierung von Sicherheitsl\u00fccken ist jedoch nur ein Schritt. Der zweite besteht darin, die richtigen Priorit\u00e4ten zu setzen. Dazu ist eine Risikoeinsch\u00e4tzung n\u00f6tig. Das einfache Ablesen der CVSS (Common Vulnerability Scoring System)-Bewertung reicht dazu nicht aus. So stellt eine Schwachstelle zum Beispiel nur dann ein echtes Problem dar, wenn die betreffende Bibliothek oder Software auch aktiv genutzt wird.<\/p>\n\n\n\n

Entsprechend sollte eine Application-Security-L\u00f6sung neben dem CVSS-Wert der gefundenen Schwachstelle auch wichtige Informationen \u00fcber die zugeh\u00f6rige Anwendung ber\u00fccksichtigen: Wer nutzt sie? Mit welchen Datenbanken ist sie verbunden? Mit welchen anderen Services kommuniziert sie? Ist sie \u00fcber das \u00f6ffentliche Internet erreichbar? Wie hoch ist der Datenverkehr? Nur auf Basis dieser Echtzeit-Informationen l\u00e4sst sich die Bedeutung einer Schwachstelle f\u00fcr das Unternehmen exakt einsch\u00e4tzen. Moderne L\u00f6sungen erledigen dies vollst\u00e4ndig automatisch.<\/p>\n\n\n\n

Das bedeutet: Sie filtern aus mehreren hundert oder tausend offenen Schwachstellen diejenigen heraus, die das Security-Team wirklich sofort untersuchen und beheben sollte. Dazu analysieren sie kontinuierlich die Datenzugriffspfade und die Produktionsausf\u00fchrung. So zeigen die L\u00f6sungen in Echtzeit automatisch eine zuverl\u00e4ssige Bewertung von m\u00f6glichen Risiken und Auswirkungen. Damit besch\u00e4ftigen sich Security-Teams nur noch mit den gr\u00f6\u00dften Gefahren und nicht mehr mit Fehlalarmen.<\/p>\n\n\n\n

Digitale Services sicher bereitstellen<\/strong><\/p>\n\n\n\n

Der dritte Schritt nach der Erkennung und Priorisierung von Schwachstellen besteht in der effektiven Behebung. Bislang muss das Security-Team bei jeder neuen Sicherheitsl\u00fccke erst konkrete Aufgaben f\u00fcr die Entwicklungsabteilung formulieren, ein Ticket erstellen und manuell pr\u00fcfen, ob die Schwachstelle im n\u00e4chsten Build auch wirklich vollst\u00e4ndig behoben ist.<\/p>\n\n\n\n

Im Rahmen von DevSecOps-Prozessen ben\u00f6tigen Teams jedoch einen deutlich schnelleren und effizienteren Ablauf. Daf\u00fcr stellen moderne Application-Security-L\u00f6sungen ein automatisches Schwachstellenmanagement bereit. Dies reicht von der Erkennung bis zur Behebung. Eine intelligente Observability-Plattform erm\u00f6glicht dabei eine reibungslose Zusammenarbeit zwischen Business-, Entwicklungs-, Betriebs- und Sicherheitsteams anhand einheitlicher Daten.<\/p>\n\n\n\n

Die Informationen werden f\u00fcr die Teams aber aus verschiedenen Perspektiven dargestellt. So sieht das Business-Team die m\u00f6glichen Auswirkungen von Sicherheitsl\u00fccken auf wichtige Gesch\u00e4ftsprozesse. Entwickler bekommen Informationen zur Problemursache bis auf Code-Ebene und Sicherheitsexperten die M\u00f6glichkeit f\u00fcr forensische Analysen.<\/p>\n\n\n\n

Zudem unterst\u00fctzt eine moderne Application-Security-L\u00f6sung \u00fcbergreifende BizDevSecOps-Prozesse wie Continuous Delivery und \u201eShifting Left\u201c. Dadurch k\u00f6nnen Teams die Automatisierung von der Entwicklung bis zur Produktion vorantreiben sowie m\u00f6gliche Probleme fr\u00fcher erkennen und beheben.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Durch Cloud-native Plattformen und DevOps-Prozesse steigen die Herausforderungen im Bereich Sicherheit. Um diese zu meistern, ben\u00f6tigen Unternehmen KI-basierte L\u00f6sungen f\u00fcr Continuous Observability und Runtime Application Self-Protection. Damit k\u00f6nnen BizDevSecOps-Teams sowohl in Produktions- als auch in Vorproduktionsumgebungen Schwachstellen effektiv erkennen und proaktiv beheben.<\/p>\n","protected":false},"excerpt":{"rendered":"

Klassische Ans\u00e4tze f\u00fcr den Schutz von Anwendungen reichen heute nicht mehr aus. Denn f\u00fcr deren Entwicklung und Bereitstellung nutzen Unternehmen immer mehr Cloud-native Technologien wie Kubernetes und OpenShift. Aktuelle Application-Security-L\u00f6sungen bieten eine umfassende Observability mit Automatisierung und KI, damit alle produktiven Systeme auch in hochdynamischen Umgebungen sicher laufen.<\/p>\n","protected":false},"author":1,"featured_media":18486,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[2206,6257,3249,8220,7360,951],"class_list":["post-18485","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-automatisierung","tag-cloud","tag-dynatrace","tag-ki","tag-kubernetes","tag-openshift"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18485"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18485\/revisions"}],"predecessor-version":[{"id":18488,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18485\/revisions\/18488"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18486"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}