Anzeige

Microservices

Wenn es um die Bereitstellung Cloud-basierter Anwendungen über Microservices geht, stellen sich zwei primäre Fragen: "Wie schnell ist schnell genug?" und "Wie sicher ist sicher genug?".

Im Wettbewerb um den Kunden haben Unternehmen kaum noch Zeit, auf traditionelle Sicherheitsüberprüfungen zu warten, bevor sie Anwendungen einführen oder verbessern. Die erste Priorität besteht darin, dass die Anwendungen die Kundenanforderungen erfüllen. Die Anwendungssicherheit spielt ebenfalls eine wichtige Rolle, aber sie darf der Agilität nicht im Wege stehen. Sicherheitsaspekte werden daher zunehmend in die DevOps-Teams verlagert, die sich als die Designer und Überwacher der agilen Netzwerkökosysteme verstehen und die automatisierten kontinuierlichen Bereitstellungsprozesse ermöglichen. Diese Teams haben jedoch Prioritäten, die im Widerspruch zu herkömmlichen, abwägenden Sicherheitspraktiken stehen. Ihre Aufgabe besteht darin, schnell Anwendungen bereitzustellen, die die Geschäftsanforderungen unterstützen. Zeit für umfassende Sicherheitsüberprüfungen ist dabei einfach nicht vorgesehen. Folglich können sich traditionelle IT- und Security-Teams von diesem Prozess ausgeladen fühlen.

APIs als Schwachstellen

In einer Microservices-Architektur erfolgt die operative Kommunikation zwischen den verschiedenen Werkzeugen und Diensten über APIs. "Solche APIs sind anfällig für Fehler und Schwachstellen, die jedoch schwer zu erkennen sind und nur selten auffallen", so Michael Tullius, Managing Director DACH bei Radware. "Herkömmliche Tools zur Bewertung der Anwendungssicherheit funktionieren nicht gut mit APIs oder sind in diesem Fall einfach irrelevant. Bei der Planung der API-Sicherheitsinfrastruktur müssen Authentifizierung und Autorisierung berücksichtigt werden, doch werden diese Aspekte oft nicht richtig behandelt."

Mikroservice-Architekturen entsprechen dem Bedürfnis von Organisationen nach Geschwindigkeit, aber die Kehrseite der Medaille sind neue Sicherheitsherausforderungen. Dazu 7 Tipps von Radware:

Visibility ist der Schlüssel

  1. Es sollte Risikomanagement implementiert werden, das den geschäftlichen Triebkräften bei der Gestaltung von Sicherheitsrichtlinien Vorrang einräumt. Der Ansatz "Sicherheit um jeden Preis" wird wahrscheinlich ein inakzeptables Maß an Fehlalarmen erzeugen. Die Sicherheit sollte dem gleichen Entwicklungszeitplan folgen wie die Produktentwicklung.
     
  2. Es muss Klarheit über die Rollen für die Anwendungssicherheit geben. Eine klare Verantwortlichkeit befähigt die richtigen Teams, die Verantwortung für Entscheidungen über das akzeptable Risikoniveau und die Strategien zum Schutz von Anwendungen zu übernehmen.
     
  3. Eine Sicherheitslösung sollte in allen Netzwerkumgebungen, sowohl im öffentlichen als auch im privaten Bereich, einen einheitlichen "Point of Visibility" bieten. Das Vertrauen auf Lösungen von Anbietern öffentlicher Clouds hinterlässt blinde Flecken in der Sicherheitslage, die Angreifer ausnutzen können.
     
  4. Die Sicherheitslösung muss sich in das bereits vorhandene Ökosystem einfügen, ohne dass Anpassungen erforderlich sind, wie z.B. die Änderung im Routing des Traffics, die Vorlage von SSL-Zertifikaten oder die Änderung von IP-Adressen
     
  5. Es hilft, den Open-Source-Charakter von Cloud-nativen Anwendungen zu nutzen, um Telemetrie-Informationen über Verkehrsvolumen, Nutzung von Anwendungen, Leistungsprobleme, geographische Verteilung der Benutzer und die Art der verarbeiteten Daten zu aggregieren. Diese Informationen ermöglichen eine Analyse des Verhaltens, um eine bessere Visibility in das Geschehen auf allen Plattformen zu erhalten
     
  6. Alle Kanäle, über die die Anwendungen bereitgestellt werden, müssen sicher sein. Das bedeutet, dass die APIs sowie Web- und Mobildienste vor Angriffsvektoren wie Protokollmanipulation, Datenmanipulation in Servern und Angriffen auf Sitzungen und Zugangsdaten geschützt werden müssen.
     
  7. Die Sicherheitsarchitektur sollte skalierbar und elastisch sein, um sich an sich ändernde Geschäftsanforderungen anpassen zu können. Eine weitgehende Automatisierung der Überwachung und der Abwehr von Angriffen im gesamten Ökosystem ist erforderlich, um den kontinuierlichen Bereitstellungsprozess von Anwendungen zu unterstützen.

www.radware.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Business

Innovative Recruiting-Plattform für IT-Spezialisten

In der IT-Branche werden so viele Fachkräfte gesucht wie nie. Nicht zuletzt hat die Corona-Pandemie die Suche nach geeigneten Arbeitgebern und -nehmern weiter erschwert, da ein persönlicher Austausch nur selten aufgrund der Social-Distancing-Regelungen…
Corona Wert

Expertise für amerikanische und deutsche Corona-Websites

Sie steht seit Beginn der Corona-Pandemie im Zentrum des Interesses: die Reproduktionszahl, auch R-Wert oder R-Zahl genannt. Sie gibt an, wie viele Menschen eine infizierte Person in einer bestimmten Zeiteinheit im Mittel mit dem Virus ansteckt.
SQL

Schweizer Taschenmesser für SQL-Datenbanken

Per Drag & Drop intuitiv und flexibel Anwendungen für SQL-Datenbanken gestalten: Die Low-Code-Plattform GAPTEQ unterstützt den Aufbau vom einfachen Web-Formular bis hin zur komplexen Business-Applikation und Extranet-Lösung.
Programmieren

Gefährliche Designfehler und Schwachstellen in Legacy-Programmiersprachen für Industrieroboter

Trend Micro stellt neue Forschungsergebnisse vor, die auf Designschwächen in Legacy-Programmiersprachen hinweisen, welche in industriellen Systemen zum Einsatz kommen. Die Sicherheitsforscher veröffentlichen zudem neue Richtlinien für sicheres Programmieren,…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!