Information et éducation par et pour la communauté SAP

DevOps – Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps zur effizienten Applikationsbereitstellung. DevOps verspricht eine kürzere Time-to-Market, verbesserte Produktqualität und höhere Kundenzufriedenheit, bringt aber auch neue Sicherheitsrisiken mit sich.
Michael Kleist, CyberArk
29 novembre 2018
Chronique DevOps
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Die digitale Transformation erfordert eine hohe Agilität und treibt die Nutzung von DevOps-Umgebungen entscheidend voran, weil DevOps eine beschleunigte Innovation, höhere Flexibilität und reduzierte Komplexität bei Applikationsentwicklung und -bereitstellung bietet. Mit DevOps-Implementierungen wollen Unternehmen deshalb primär Business-Vorteile realisieren. Sie vernachlässigen dabei aber allzu oft die Sicherheit – ein gravierender Fehler, denn gerade DevOps erweitert die Angriffsfläche für Cyber-Attacken erheblich.

Wenn Unternehmen DevOps-Modelle nutzen, werden mehr privilegierte Accounts und Zugangsdaten generiert und über vernetzte Busi­ness-Ökosysteme hinweg automatisiert geteilt. Zu solchen – bisher vielfach nur unzureichend berücksichtigten und gesicherten – Zugangsdaten gehören Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code, der häufig auch in zentralen Repositories liegt.

Die zusätzlich verwendeten privilegierten Zugangsdaten, die mit Personen, Services oder Applikationen verbunden sind, stellen unweigerlich ein lukratives Ziel für einen externen Angreifer oder böswilligen Insider dar. Schließlich ermöglichen sie eine vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens.

Erhöht wird das Sicherheitsrisiko für Unternehmen noch durch die Nutzung zahlreicher Orches­trierungs- und Automationstools, so werden etwa CI-(Continuous Integration)- und CD-(Continuous Delivery)-Tools oder Source-Code-Repositories wie GitHub in DevOps-Projekten eingesetzt. Herausforderung dabei ist, dass die in der DevOps-Toolchain verwendeten Werkzeuge wie Ansible, Chef, Puppet oder Jenkins keine gemeinsamen Standards bieten und Unternehmen somit für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen ergreifen müssen.

Vor allem die Workflows für die Zugriffsteuerung auf privilegierte Zugangsdaten differieren in erheblichem Maße. Infolgedessen verfolgen viele Unternehmen gar keine, inkonsistente oder manuelle Strategien für die Zugriffskontrolle – Sicherheitslücken sind damit vorprogrammiert und werden von Angreifern genauso automatisiert gesucht, wie in der DevOps-Pipeline Code generiert wird.

Wie kann man diese Entwicklungen bekämpfen?

Erfolgreich gegensteuern kann man nur mit einem eigenen DevOps-Security-Stack und an dieser Stelle ist die IT-Security gefordert. Sie muss mit einer systematischen Vorgehensweise DevOps-­Teams dabei unterstützen, eine hohe Sicherheit zu realisieren. DevOps- und Security-Tools und -Practices müssen miteinander integriert werden, um einen effizienten Schutz für privilegierte Daten zu eta­blieren. Die enge Zusammenarbeit von DevOps- und Security-Teams ist deshalb der erste Schritt für den erfolgreichen Aufbau einer skalierbaren Sicherheitsplattform und die Umsetzung einer DevSec­Ops-Strategie, die in der dynamischen Umgebung und mit sich rasant weiterentwickelnder Technologie Schritt halten kann.

Unter dem Dach einer solchen Sicherheitsplattform sollte die Administration aller DevOps-Tools und -Zugangsdaten erfolgen. Von essenzieller Bedeutung ist dabei hauptsächlich die zentrale, automatische Verwaltung und Sicherung aller vertraulichen Zugangsdaten, die in einer DevOps-Pipeline genutzt werden – wie Encryption- und API-Schlüssel, Datenbank-Passwörter oder Transport-Layer-­Security-(TLS)-Zertifikate.

Selbstverständlich werden hier auch automatisiert und dynamisch individuelle Secrets verwaltet, die in der DevOps-Produktion die Zugriffe absichern. Der Schutz aller von Maschinen, Systemen und Menschen genutzten Zugangsdaten sollte in einem hochverfügbaren und sicheren Speichersystem (Vault) erfolgen, einem speziell „gehärteten“ Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet.

avatar
Michael Kleist, CyberArk

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.