Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

DevOps Black 38325911 700

Mit DevOps steht Unternehmen eine nützliche Methode zur Prozessverbesserung in Rahmen der Systemadministration und Softwareentwicklung zur Verfügung: Gemeinsame Tools in der Entwicklung, im IT-Betrieb und der Qualitätssicherung ermöglichen eine effizientere Zusammenarbeit. Ein Kommentar von Jens Freitag, Security Specialist bei Tenable.

Zudem bieten sie mehr Stabilität und lassen sich gut skalieren. Produkte können so schneller auf den Markt kommen, Neuveröffentlichungen sind weniger fehlerhaft und Zeitfenster bis zur Behebung verkleinern sich. Unternehmen profitieren von besserer Softwarequalität sowie effizienterer Organisation.

Es ist nicht verwunderlich, dass es DevOps längst in die Unternehmen geschafft haben. Einer Umfrage zufolge nutzten 2017 bereits 56 Prozent der deutschen Unternehmen DevOps. Zur Technologie gehört jedoch auch die Sicherheit. Und hier hakt es noch. So fand die „2018 DevSecOps Community Survey“ heraus, dass knapp die Hälfte der Entwickler nicht genug Zeit für Security‑Fragen haben – auch keine Lösungen oder Prozesse erarbeiten.

Hacker nutzen bereits die mangelnde DevOps-Cyberhygiene aus und schleusen Crypto-Mining-Malware über Docker Hub Backdoors, Kubernetes-Konten und ungepatchte Drupal-Webapplikationen ein. Zwar erfordern Angriffe noch sehr viel Rechenleistung, um Profit aus Kryptowährungen generieren zu können, doch bald wird es ihnen noch leichter fallen.

Die Sicherheitsexperten sollten sich das zu Herzen nehmen, das traditionelle Schwachstellenmanagement überdenken und neue Sicherheitsmethoden einführen, um auch DevOps-Prozesse in ihre IT-Sicherheitsmaßnahmen einzubeziehen. Tenable erklärt, was dafür erforderlich ist.

Kontinuierlich identifizieren und scannen. Monatliche oder vierteljährliche Scans sind in der DevOps-Welt nicht ausreichend. Kontinuierliche Softwarebereitstellung bedeutet, dass sich die Umgebung ständig verändert. Aus diesem Grund sollten Unternehmen Cyberrisiken kontinuierlich identifizieren sowie bewerten und das über den gesamten Lebenszyklus der Softwareentwicklung hinweg – von der Bedarfsanalyse bis zum Einsatz. Nur so können Unternehmen vollständige Transparenz gewährleisten.

Sicherheitsmaßnahmen in DevOps-Prozesse integrieren. Sicherheitstests und -kontrollen sollten ein integraler Bestandteil des Softwareentwicklungs-Lebenszyklus sein und in die Entwicklungspipeline integriert werden. Wieso Schwachstellen, Malware und Fehlkonfigurationen nicht wie jede andere Art von Softwarefehler behandeln und so früh wie möglich beheben, bevor z. B. die Codequalität leidet?

Sicherheitsabläufe automatisieren. Um die Skalierbarkeit und Geschwindigkeit von DevOps zu unterstützen, sollten Verantwortliche Sicherheitskontrollen programmgesteuert mit APIs in DevOps-Systeme einbinden und so die Vorteile der Automatisierung während des gesamten Entwicklungszyklus nutzen. Anstatt die Images anhand vordefinierter Security Gates manuell zu bewerten, können die Teams Sicherheitstests automatisch auslösen, um alle Build‑Prozesse zu bewerten, wenn sie erstellt werden.

Der Markt bietet mittlerweile viele Lösungen, die Unternehmen dabei unterstützen. Cloud‑Konnektoren tracken etwa kontinuierlich Asset-Veränderungen, um sicherzustellen, dass alle Cloud-Workloads bekannt sind und auf Schwachstellen untersucht werden. Dabei werden die Lösungen oft in CI/CD-Systeme (Continuous Integration and Continuous Delivery) integriert, um Schwachstellen und Malware schon während der Entwicklung zu beheben. Gut dokumentierte APIs ermöglichen es zudem, Sicherheitsscans zu automatisieren und Kontrollen innerhalb von Workflows zu integrieren. Für IT‑Verantwortliche bedeutet dies, dass es durchaus Möglichkeiten gibt, etwas gegen ihre Bauchschmerzen zu unternehmen.

www.tenable.com/de

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…