{"id":55212,"date":"2018-11-29T08:00:54","date_gmt":"2018-11-29T07:00:54","guid":{"rendered":"http:\/\/e3mag.com\/?p=55212"},"modified":"2025-07-31T15:36:49","modified_gmt":"2025-07-31T13:36:49","slug":"devops-risiken-werden-unterschaetzt","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/devops-risiken-werden-unterschaetzt\/","title":{"rendered":"DevOps – Risiken werden untersch\u00e4tzt"},"content":{"rendered":"

Die digitale Transformation erfordert eine hohe Agilit\u00e4t und treibt die Nutzung von DevOps-Umgebungen entscheidend voran, weil DevOps eine beschleunigte Innovation, h\u00f6here Flexibilit\u00e4t und reduzierte Komplexit\u00e4t bei Applikationsentwicklung und -bereitstellung bietet. Mit DevOps-Implementierungen wollen Unternehmen deshalb prim\u00e4r Business-Vorteile realisieren. Sie vernachl\u00e4ssigen dabei aber allzu oft die Sicherheit \u2013 ein gravierender Fehler, denn gerade DevOps erweitert die Angriffsfl\u00e4che f\u00fcr Cyber-Attacken erheblich.<\/p>\n

Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und \u00fcber vernetzte Busi\u00adness-\u00d6kosysteme hinweg automatisiert geteilt. Zu solchen \u2013 bisher vielfach nur unzureichend ber\u00fccksichtigten und gesicherten \u2013 Zugangsdaten geh\u00f6ren Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passw\u00f6rter in Programm-Code, der h\u00e4ufig auch in zentralen Repositories liegt.<\/p>

\"\"<\/a><\/div><\/div>\n

Die zus\u00e4tzlich verwendeten privilegierten Zugangsdaten, die mit Personen, Services oder Applikationen verbunden sind, stellen unweigerlich ein lukratives Ziel f\u00fcr einen externen Angreifer oder b\u00f6swilligen Insider dar. Schlie\u00dflich erm\u00f6glichen sie eine vollst\u00e4ndige Kontrolle \u00fcber die gesamte IT-Infrastruktur eines Unternehmens.<\/p>\n

Erh\u00f6ht wird das Sicherheitsrisiko f\u00fcr Unternehmen noch durch die Nutzung zahlreicher Orches\u00adtrierungs- und Automationstools, so werden etwa CI-(Continuous Integration)- und CD-(Continuous Delivery)-Tools oder Source-Code-Repositories wie GitHub in DevOps-Projekten eingesetzt. Herausforderung dabei ist, dass die in der DevOps-Toolchain verwendeten Werkzeuge wie Ansible, Chef, Puppet oder Jenkins keine gemeinsamen Standards bieten und Unternehmen somit f\u00fcr jedes Tool individuelle, spezifische Sicherheitsma\u00dfnahmen ergreifen m\u00fcssen.<\/p>\n

Vor allem die Workflows f\u00fcr die Zugriffsteuerung auf privilegierte Zugangsdaten differieren in erheblichem Ma\u00dfe. Infolgedessen verfolgen viele Unternehmen gar keine, inkonsistente oder manuelle Strategien f\u00fcr die Zugriffskontrolle \u2013 Sicherheitsl\u00fccken sind damit vorprogrammiert und werden von Angreifern genauso automatisiert gesucht, wie in der DevOps-Pipeline Code generiert wird.<\/p>\n

Wie kann man diese Entwicklungen bek\u00e4mpfen?<\/h2>\n

Erfolgreich gegensteuern kann man nur mit einem eigenen DevOps-Security-Stack und an dieser Stelle ist die IT-Security gefordert. Sie muss mit einer systematischen Vorgehensweise DevOps-\u00adTeams dabei unterst\u00fctzen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und -Practices m\u00fcssen miteinander integriert werden, um einen effizienten Schutz f\u00fcr privilegierte Daten zu eta\u00adblieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt f\u00fcr den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform und die Umsetzung einer DevSec\u00adOps-Strategie, die in der dynamischen Umgebung und mit sich rasant weiterentwickelnder Technologie Schritt halten kann.<\/p>\n

Unter dem Dach einer solchen Sicherheitsplattform sollte die Administration aller DevOps-Tools und -Zugangsdaten erfolgen. Von essenzieller Bedeutung ist dabei haupts\u00e4chlich die zentrale, automatische Verwaltung und Sicherung aller vertraulichen Zugangsdaten, die in einer DevOps-Pipeline genutzt werden \u2013 wie Encryption- und API-Schl\u00fcssel, Datenbank-Passw\u00f6rter oder Transport-Layer-\u00adSecurity-(TLS)-Zertifikate.<\/p>\n

Selbstverst\u00e4ndlich werden hier auch automatisiert und dynamisch individuelle Secrets verwaltet, die in der DevOps-Produktion die Zugriffe absichern. Der Schutz aller von Maschinen, Systemen und Menschen genutzten Zugangsdaten sollte in einem hochverf\u00fcgbaren und sicheren Speichersystem (Vault) erfolgen, einem speziell \u201egeh\u00e4rteten\u201c Server, der mit mehreren unterschiedlichen Security-Layern zuverl\u00e4ssigen Schutz vor unbefugten Zugriffen bietet.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unternehmen nutzen verst\u00e4rkt DevOps zur effizienten Applikationsbereitstellung. DevOps verspricht eine k\u00fcrzere Time-to-Market, verbesserte Produktqualit\u00e4t und h\u00f6here Kundenzufriedenheit, bringt aber auch neue Sicherheitsrisiken mit sich.<\/p>\n","protected":false},"author":1249,"featured_media":50414,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[24421,7,26129],"tags":[1013,451],"coauthors":[23133],"class_list":["post-55212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-devops-kolumne","category-meinung","category-mag-1811","tag-agilitaet","tag-devops","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",600,270,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",600,270,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Unternehmen nutzen verst\u00e4rkt DevOps zur effizienten Applikationsbereitstellung. DevOps verspricht eine k\u00fcrzere Time-to-Market, verbesserte Produktqualit\u00e4t und h\u00f6here Kundenzufriedenheit, bringt aber auch neue Sicherheitsrisiken mit sich.<\/p>\n","category_list_v2":"DevOps Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 18-11<\/a>","author_info_v2":{"name":"Michael Kleist, CyberArk","url":"https:\/\/e3mag.com\/de\/author\/michael-kleist\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/55212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1249"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=55212"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/55212\/revisions"}],"predecessor-version":[{"id":153128,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/55212\/revisions\/153128"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/50414"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=55212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=55212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=55212"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=55212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}