Tipps Security

Gastartikel - Michael Kleist, CyberArk

DevOps-Risiken werden unterschätzt

Bild: CyberArk
Michael Kleist, Regional Director DACH bei CyberArk
Bild: CyberArk

Unternehmen nutzen verstärkt DevOps-Modelle für die effizientere Applikationsbereitstellung. DevOps verspricht kürzere Time-to-Market, verbesserte Produktqualität und höhere Kundenzufriedenheit, bringt aber auch neue Sicherheitsrisiken mit sich.

Die Digitale Transformation erfordert eine hohe Agilität und treibt die Nutzung von DevOps-Umgebungen entscheidend voran, weil DevOps eine beschleunigte Innovation, höhere Flexibilität und reduzierte Komplexität bei Applikationsentwicklung und -bereitstellung bietet. Mit DevOps-Implementierungen wollen Unternehmen deshalb primär Business-Vorteile realisieren. Sie vernachlässigen dabei aber allzu oft die Sicherheit – ein gravierender Fehler, denn gerade DevOps erweitert die Angriffsfläche für Cyber-Attacken erheblich.

Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Business-Ökosysteme hinweg automatisiert geteilt. Zu solchen – bisher vielfach nur unzureichend berücksichtigten und gesicherten – Zugangsdaten gehören Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code, der häufig auch in zentralen Repositories liegt. Die zusätzlich verwendeten privilegierten Zugangsdaten, die mit Personen, Services oder Applikationen verbunden sind, stellen unweigerlich ein lukratives Ziel für einen externen Angreifer oder böswilligen Insider dar. Schließlich ermöglichen sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens.

Erhöht wird das Sicherheitsrisiko für Unternehmen noch durch die Nutzung zahlreicher Orchestrierungs- und Automationstools, so werden etwa CI (Continuous Integration)- und CD (Continuous Delivery)-Tools oder Source-Code-Repositories wie GitHub in DevOps-Projekten eingesetzt. Herausforderung dabei ist, dass die in der DevOps-Toolchain verwendeten Werkzeuge wie Ansible, Chef, Puppet oder Jenkins keine gemeinsamen Standards bieten und Unternehmen somit für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen ergreifen müssen. Vor allem die Workflows für die Zugriffsteuerung auf privilegierte Zugangsdaten differieren in erheblichem Maße. Infolgedessen verfolgen viele Unternehmen gar keine, inkonsistente oder manuelle Strategien für die Zugriffskontrolle – Sicherheitslücken sind damit vorprogrammiert und werden von Angreifern genauso automatisiert gesucht, wie in der DevOps-Pipeline Code generiert wird.

Erfolgreich gegensteuern kann man nur mit einem eigenen DevOps-Security-Stack und an dieser Stelle ist die IT-Security gefordert. Sie muss mit einer systematischen Vorgehensweise DevOps-Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu etablieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform und die Umsetzung einer DevSecOps-Strategie, die in der dynamischen Umgebung und mit sich rasant weiterentwickelnder Technologie Schritt halten kann.

Unter dem Dach einer solchen Sicherheitsplattform sollte die Administration aller DevOps-Tools und -Zugangsdaten erfolgen. Von essenzieller Bedeutung ist dabei hauptsächlich die zentrale, automatische Verwaltung und Sicherung aller vertraulichen Zugangsdaten, die in einer DevOps-Pipeline genutzt werden – wie Encryption- und API-Schlüssel, Datenbank-Passwörter oder Transport-Layer-Security (TLS)-Zertifikate. Selbstverständlich werden hier auch automatisiert und dynamisch individuelle Secrets verwaltet, die in der DevOps-Produktion die Zugriffe absichern.

Der Schutz aller von Maschinen, Systemen und Menschen genutzten Zugangsdaten sollte in einem hochverfügbaren und sicheren Speichersystem (Vault) erfolgen, einem speziell "gehärteten" Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet.

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.

Weitere Artikel

Credit: Fotalia

Die sichere Datenwolke

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu…

Weiterlesen
Credit: MicroStrategy

MicroStrategy Symposium Vienna

Join our MicroStrategy Symposium in Vienna on June 18 to…

Weiterlesen

Maintenance Business Breakfast

Mit der neuen Veranstaltungsserie »Maintenance Business…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen

e-Government Konferenz

Die ADV e-Government Konferenz 2019 findet am 26. und 27.…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Foto: Solicon IT/ Birst

solicon IT auf Birst Business Intelligence Tour // Salzburg-Graz-Wien

solicon IT, österreichisches IT-Beratungsunternehmen und…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen
Bild: Grabher

Schneelast-Sensor kann Leben retten

Ein textiler Schneelast-Sensor ist weltweit erstmals in…

Weiterlesen
Bild: S&T AG

Thomas Schober-Köberl verstärkt S&T

Seit Dezember ist Thomas Schober-Köberl neuer Consultant…

Weiterlesen
Bild: Austrian Standards

Energiemanagement mit der neuen ISO 50001

Energiemanagementsysteme helfen Unternehmen, Verbrauch und…

Weiterlesen
Bild: CC0 - pixabay.com

ONTEC schafft Führungskräfte ab

Der IT-Dienstleister ONTEC AG verzichtet auf die klassische…

Weiterlesen
Bild: TGM - Hetzmannseder

TGM richtet Mini-Fabrik für Schüler ein

Am TGM in Wien nimmt eine Mini-Fabrik den Betrieb auf,…

Weiterlesen
Bild: Rudi Lindenhofer

Lindenhofer ist CEO von Moonshiner

Der bisherige CEO Florian Bauer soll als CIO (Chief…

Weiterlesen