Sicherheit und DevOps: Was bedeutet „nach links verschieben“?

(Di Marco Rottigni)
21/06/21

Das im Mai von Verizon veröffentlichte Dokument DBIR (Data Breach Investigations Report) 2021 analysiert die Untersuchungen zu Unfällen und Datenmissbrauch Informatiker des gerade zu Ende gegangenen schwierigen Jahres.

Unter den verschiedenen Indizien, die bei den Unfallursachen und Datenverlusten identifiziert wurden, fällt sowohl das Wiederauftreten in beiden Kategorien als auch die Tabellenplatz - am zweitwichtigsten: Angriffe auf Webanwendungen.

Die Kombination aus digitaler Transformation von Unternehmen und der Pandemie-Notlage haben wichtige Veränderungen geprägt, die in letzter Zeit die Nutzung von Webanwendungen für einen Großteil der persönlichen und beruflichen Produktivität enorm verstärkt haben.

Einerseits hat sich das viel beklagenswerte „Arbeiten von zu Hause“ tatsächlich als hervorragende Lösung erwiesen, die dazu beigetragen hat, die Verwüstungen zu mildern, die sonst den Betrieb von Unternehmen erheblich beeinträchtigt hätten.

Unternehmen, bei denen sowohl Manager als auch Mitarbeiter trotz bekannter infrastruktureller und betrieblicher Probleme bemerkenswerte Kreativität gezeigt haben

Auf der anderen Seite ist die Angriffsfläche exponentiell gestiegen und die daraus resultierenden Risiken einer Kompromittierung.

Das Konsortium des Open Web Application Security Project (OWASP) unterhält eine Liste von 10 Kategorien schwerwiegender Schwachstellen auf Webanwendungen, damit Sicherheitsteams in ihre Kontrolle eingreifen können.

Das Problem bleibt in der mangelnden Aufmerksamkeit für aPräventive digitale Hygiene und Kontrollen, die nur angewendet werden, wenn die Anwendung im Internet veröffentlicht wird, daher sowohl für legitime Benutzer als auch - leider - für Cyberkriminelle zugänglich.

Eine weitere Schwachstelle bei Webanwendungen liegt in den sehr weiten Abständen – teilweise sogar Semester oder mehr – mit denen auf das Vorhandensein von Schwachstellen überprüft wird.

Dazu ist es notwendig, den Reifegrad von Unternehmen und Organisationen zu erhöhen fehlende digitale Hygiene, mit einer Aktion, die oft als . bezeichnet wird Sicherheit nach links verschieben.

Um die Idee besser zu verstehen, muss der Prozess, mit dem Webanwendungen entwickelt, verifiziert und schließlich veröffentlicht werden, nach den Vorgaben der agilen Methodik analysiert werden, die Continuous Integration, Continuous Delivery / Deployment (CI / CD) vorsieht.

Oft als Kreislauf dargestellt, der der Form einer mathematischen Unendlichkeit ähnelt, wird der operative Ablauf von Continuous Integration und Implementierung häufig mit dem Begriff DevOps zusammengefasst – was auf die enge Zusammenarbeit zwischen dem Entwicklungsteam (Dev) und dem operativen Managementteam (Ops) hinweist.

Die wichtige Frage an dieser Stelle lautet: Wo sollen die Sicherheitskontrollen eingefügt werden, um zu verhindern, dass Schwachstellen – also potenzielle Angriffsvektoren – entdeckt werden, wenn die Anwendung für jeden sichtbar und erreichbar ist?

Hier ist die Idee hinter „Shift Left Security“.

Wenn eine Organisation das DevOps-Paradigma implementiert, beinhaltet der Prozess häufig die Einführung von Softwareplattformen, die den Übergang zwischen den verschiedenen Phasen des Zyklus erleichtern.

Beispiele für diese Plattformen sind Jenkins, Bamboo, TeamCity usw.

Die verwendete Logik umfasst die Verwaltung der verschiedenen Momente, wie das Abrufen des Codes aus dem zentralen Repository (z. B. GitHub), das Ausführen der Anweisungen zum Kompilieren der Anwendung (Phase des bauen), Aktionen vor oder nach dem ausführen bauen (z.B. das Halbzeug in eine andere Umgebung übertragen oder das kompilierte ausführen).

Die meisten dieser Plattformen sind offen strukturiert und unterstützen Software-Plug-ins, mit denen die von der Plattform bereitgestellten Grundfunktionen erweitert werden können.

Dank dieser Plug-ins ist es möglich, automatische Sicherheitsprüfungen zu integrieren, so dass sie in die Schritte zwischen einer Phase und der nächsten eingreifen.

Je nach eingesetzten Plug-Ins ist es sogar möglich, Sicherheitsrichtlinien festzulegen, auf deren Grundlage die bauen kann erfolgreich oder mit Fehler beendet werden (Bild unten).

Definieren Sie beispielsweise, dass bei Vorhandensein von Software-Schwachstellen, die einen bestimmten numerischen Schwellenwert oder eine bestimmte Kritikalität überschreiten, der Fortschritt entlang der Pipeline Andere Plug-In-Konfigurationsoptionen ermöglichen es Ihnen, Fehler und Sicherheitsprobleme direkt im für Entwickler sichtbaren Bildschirm anzuzeigen, um sie bei der Lösung des Problems autonom zu machen.

Auf diese Weise verlagern sich die Sicherheitskontrollen immer mehr in Richtung des Ursprungs, was eine bessere Widerstandsfähigkeit der Anwendung garantiert, wenn sie schließlich in die Produktion geht, und das Risiko von Cyberangriffen verringert wird.

Die Technik von "Nach links verschieben" es betrifft nicht nur die Produktionspipelines von Webanwendungen, sondern wird häufig verwendet, um das gleiche Maß an Agilität in Bereichen wie Anwendungscontainern, Cloud-Ressourcentraining, Server- und Client-Images, Infrastruktur zu implementieren.

Im Wesentlichen ist es ein zunehmender Reifegrad des Sicherheitsprogramms eines Unternehmens, das es schafft, Agilität, Betriebsgeschwindigkeit und Effektivität bei den Sicherheitskontrollen effizient zu kombinieren.

Bilder: Verizon DBIR 2021 / web