Information und Bildungsarbeit von und für die SAP-Community

DevOps mit Open Source? Aber sicher!

Der Einsatz von Open Source unterstützt DevOps-Teams bei der agilen Software-Entwicklung. Doch im Bestreben, Code immer schneller zu produzieren, bleibt der Schutz vertraulicher und privilegierter Anmeldedaten häufig auf der Strecke.
Michael Kleist, CyberArk
9. Dezember 2021
Open-Source
avatar

DevOps-Teams stehen heute unter hohem Druck, neue Anwendungen und Services schnell bereitzustellen, um die digitale Transformation im Unternehmen voranzutreiben. Dabei helfen ihnen Open-Source-Tools, die dank offener Schnittstellen und Standards gut zusammenarbeiten und eine weitgehende Automatisierung von Prozessen für Continuous Integration und Delivery (CI/CD) erlauben.

Die Tools lassen sich einfach evaluieren und einführen, ohne Unterstützung und – leider auch häufig – ohne Abstimmung mit IT- und Security-Teams. Doch der Versuch, neue Anwendungen immer schneller zu produzieren und in immer kürzeren Abständen mit Updates zu versorgen, führt oft zu unsicheren Praktiken – insbesondere im Umgang mit vertraulichen und privilegierten Anmeldedaten wie Passwörtern, API- und SSH-Schlüsseln sowie Zertifikaten.

Regelmäßig betten Entwickler beispielsweise Anmeldedaten – etwa für den Zugriff auf wichtige Datenbanken oder Cloud-Dienste – direkt in den Programmcode ein oder speichern sie in Konfigurationsdateien. Das ist ohnehin riskant, weil Code und Konfigurationen meist in zentralen Repositorys abgelegt werden, auf die viele verschiedene Anwender Zugriff haben. Im Falle von Open Source, die vom Community-Gedanken und dem Teilen von Quellcode lebt, besteht zudem die Gefahr, dass Anmeldedaten das Unternehmen ungewollt verlassen und leicht angreifbar machen. Dabei ist das Teilen von Code durchaus erwünscht und wichtig für die Weiterentwicklung von Open-Source-Software, lediglich die Anmeldedaten haben nichts im Code zu suchen.

Darüber hinaus setzen DevOps-Teams häufig Open-Source-Tools ein, ohne diese zuvor ausreichend auf Schwachstellen und einen sicheren Umgang mit Anmeldedaten zu prüfen. Oder sie verwenden Third-Party-Code, der nicht ausreichend getestet wurde oder veraltet ist. Damit stehen Sicherheitsverantwortliche vor der Herausforderung, Risiken beim Einsatz von Open Source zu minimieren, ohne DevOps-Teams in ihrer Arbeit auszubremsen.

Auf klassische Lösungen für das Security-Management können sie dabei in der Regel nicht zurückgreifen, weil diese für traditionelle Software-Anwendungen und Entwicklungsmethoden ausgelegt sind – und damit zu langsam, unflexibel und komplex für die agile Entwicklungswelt. Inzwischen gibt es jedoch moderne Lösungen für das Secrets-Management, also die Kontrolle und Verwaltung privilegierter Zugänge zu kritischen Systemen und zwischen Anwendungsteilen, und das auch auf Open-Source-Basis. Diese Lösungen schützen die Anmeldedaten sowohl von technischen Identitäten als auch menschlichen Anwendern in DevOps-Umgebungen und integrieren Sicherheit nahtlos in bestehende CI/CD-Prozesse.

Ein modernes Secrets-Management entfernt hart kodierte Anmeldedaten aus Anwendungen sowie den Skripten und Konfigurationsdateien von Automatisierungs- und Konfigurationstools entlang der gesamten CI/CD-Pipeline und verwaltet diese zentral. Es bietet richtlinien- und rollenbasierte Zugriffskontrollen, eine Rotation von Anmeldedaten und eine vollständige Dokumentation für Audits.

Ebenso überprüft es die Anfragen von Containern nach Anmeldedaten und gibt diese entsprechend den Richtlinien frei – etwas, woran althergebrachte Security-Lösungen aufgrund der kurzen Lebenszeit von Containern zumeist scheitern. Auch neue Hosts in Cloud-Umgebungen bekommen vom Secrets-Management die passenden Identitäten zugewiesen, sodass DevOps-
Teams automatische Skalierungsfunktionen nutzen können und neue Hosts nicht manuell mit Berechtigungen ausstatten müssen.

Zusammenfassend authentifiziert, kontrolliert und auditiert ein modernes Secrets-Management alle Zugriffe zentral über Tool-Stacks, Container-Plattformen und Cloud-Umgebungen hinweg und löst damit auch Security-Silos auf. Security-Teams schützen so sämtliche Anmeldedaten zuverlässig, während sich DevOps-Teams auf ihre eigentliche Aufgabe konzen-trieren können: die Entwicklung, Pflege und den Betrieb von Anwendungen.

avatar
Michael Kleist, CyberArk

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.