{"id":12991,"date":"2024-04-09T15:04:58","date_gmt":"2024-04-09T13:04:58","guid":{"rendered":"https:\/\/sits.com\/devops-sicherheit-belastungstest-fuer-kultur-und-technologie\/"},"modified":"2024-07-18T12:18:52","modified_gmt":"2024-07-18T10:18:52","slug":"devops-sicherheit-belastungstest-fuer-kultur-und-technologie","status":"publish","type":"post","link":"https:\/\/sits.friendventure.dev\/ch\/blog\/devops-sicherheit-belastungstest-fuer-kultur-und-technologie\/","title":{"rendered":"DevOps-Sicherheit: Belastungstest f\u00fcr Kultur und Technologie"},"content":{"rendered":"

[vc_row][vc_column][vc_column_text]Mit DevOps wachsen Software-Entwicklung (Dev) und -Betrieb (Ops) zusammen. Tools zur Prozessautomatisierung, die kontinuierliche Integration und das Teamwork zwischen Dev- und Ops-Einheiten f\u00f6rdern die Effizienz der gesamten Entwicklung. Die agile Entwicklung hat neben Vorteilen wie einer hohen Software-Qualit\u00e4t, Innovationsf\u00e4higkeit und schnellen Bereitstellung auch eine Schattenseite: Isolierte Sicherheitsmodelle verlieren an Wirksamkeit, weil Security-Pr\u00fcfungen und -Optimierungen nun den gesamten DevOps-Lifecycle umfassen und ineinandergreifen m\u00fcssen.[\/vc_column_text]

<\/div>\n

DevSecOps: Sicherheit ohne Bruchstellen<\/h2>[vc_column_text]Mit DevSecOps hat sich deshalb ein Modell etabliert, das Sicherheitsaspekte und -verfahren von Anfang als integrale Bestandteile des Entwicklungsprozesses betrachtet, anstatt sie, wie bisher, als separate Phase oder Nachbearbeitung zu behandeln.<\/p>\n

Ziel ist es, Sicherheitsl\u00fccken trotz der heterogenen Zusammenarbeit zwischen Devs und Ops fr\u00fchzeitig zu erkennen, zu beheben und pr\u00e4ventive Ma\u00dfnahmen ergreifen zu k\u00f6nnen. Damit entsteht nicht nur eine Kultur der gemeinsamen Verantwortung, Sicherheitsma\u00dfnahmen und -Tools decken nun auch den kompletten DevOps-Lebenszyklus ab.<\/p>\n

Das beginnt bereits mit dem Design und der Definition von Sicherheitsanforderungen und -zielen sowie der Auswahl geeigneter Architekturen und Technologien. Auch im Microsoft-Kosmos haben sich bew\u00e4hrte Praktiken, Werkzeuge und Ressourcen durchgesetzt. Dazu geh\u00f6rt in erster Linie der Microsoft Security Development Lifecycle (SDL). SDL integriert Sicherheitsstrategien und -verfahren in alle Phasen des Entwicklungsprozesses, von der Planung, \u00fcber das Design und die Implementierung, bis hin zur \u00dcberpr\u00fcfung und Wartung. Um die Anf\u00e4lligkeit f\u00fcr Angriffe w\u00e4hrend der Entwicklungsphase zu reduzieren, haben sich Werkzeuge wie die Microsoft Security Code Analysis Tools bew\u00e4hrt. Sie erm\u00f6glichen es, den entwickelten Code automatisch und kontinuierlich auf Schwachstellen zu \u00fcberpr\u00fcfen und zu beheben, noch bevor die Anwendung in die produktive Umgebung gelangt.<\/p>\n

Steht dann die Bereitstellung im Pflichtenheft, ist eine kontinuierliche Integrations- und Bereitstellungs-Pipeline (CI\/CD) zweckm\u00e4\u00dfig. Sie umfasst Sicherheitstests und -\u00fcberpr\u00fcfungen f\u00fcr jeden Schritt: Dienste wie Microsoft Azure DevOps Services lassen sich beispielsweise dazu verwenden, die Pipeline zu erstellen und zu verwalten, w\u00e4hrend Komponenten wie Microsoft Azure Security Center die Anwendungen und Infrastruktur in der Cloud sch\u00fctzen und \u00fcberwachen.[\/vc_column_text]

<\/div>\n

Schutz f\u00fcr Container und Microservices<\/h2>[vc_column_text]Neue Sicherheitsstrategien sind allerdings auch n\u00f6tig, wenn es um die Implementierung von Container-Technologien und Microservices geht. Um Schwachstellen in Container-Images und Microservices zu identifizieren und zu beheben, finden in der Regel folgende Werkzeuge Beachtung:<\/p>\n