bluebay2014 - stock.adobe.com
Automatisierung zur Absicherung von Microservices nutzen
Neben Containern verbreiten sich zunehmend auch Microservices in Unternehmen. Sie erfordern jedoch andere Werkzeuge und weitgehend automatisierte Maßnahmen, um sie abzusichern.
Es ist alles andere als praktikabel, eine auf Microservices aufsetzende IT-Umgebung manuell zu testen und abzusichern. Besser ist eine weitgehende Automatisierung dieser Aufgaben, wenn Sie Ihre Microservices vor Angriffen schützen wollen.
Wenn es um die Sicherheit von Microservices geht, ist eine Automatisierung mittlerweile absolut essentiell. Der traditionelle Ansatz zur Absicherung des Perimeters, bei dem diverse Sicherheits-Tools die Fehler in den genutzten Anwendungen weitgehend kompensieren sollen, reicht im Fall von Microservices bei weitem nicht mehr aus. Manuelle Vorgehensweisen sind ebenfalls keine Alternative mehr, da sie nicht skalierbar genug und zudem anfällig für Fehler sind.
Warum Sicherheit automatisieren?
Die Automatisierung von Sicherheitsaufgaben hat folgende Vorteile für Anwendungen:
- Sie ermöglicht eine umfassendere und vollständigere Absicherung, weil sie auch Probleme erfasst, die von Menschen übersehen werden.
- Sie ist oft zuverlässiger als eine durch einen Menschen durchgeführte Analyse.
- Sie kann dabei helfen, Konflikte zwischen unterschiedlichen Fachabteilungen im Unternehmen zu minimieren.
- Sie sorgt für eine bessere Kontrolle und mehr Transparenz. Außerdem erleichtert sie es, sich genauer darüber zu informieren, was auf den einzelnen Ebenen der genutzten Anwendungen geschieht.
- Sie hilft dabei, sicherheitsrelevante Richtlinien bei der Entwicklung von Software einzuführen und durchzusetzen. So werden Silos verhindert und neue Ansätze wie DevSecOps gefördert.
Ein moderner Anwendungs-Stack hat vier Ebenen: Infrastruktur, Daten, Netzwerk sowie Application-Code. Auf jeder dieser Ebenen ermöglichen es Container und Microservices, Anwendungen auf eine neue Art einzuführen und zu nutzen. Das führt dazu, dass Orchestrierungs-Werkzeuge wie Kubernetes ein zentrales Element sind, um Microservices zu verwenden.
Nichtsdestotrotz lassen sich aber auch mit vielen Sicherheits-Tools für Standardumgebungen brauchbare Ergebnisse erzielen, wenn sie für Microservices eingesetzt werden. Es gibt jedoch zwei Bereiche, die eine besondere Aufmerksamkeit erfordern: Application sowie Container Security. Glücklicherweise gibt es bereits zahlreiche mächtige und weitgehend automatisierte Werkzeuge, die die schnellen und agilen Anforderungen zur Absicherung von Microservices erfüllen.
Tests und erweiterter Schutz
Die Absicherung von Microservices ist deswegen so wichtig, weil sie den Schutz mehrerer Dienste umfasst, die zusammengenommen eine Anwendung ergeben. Diese Minidienste arbeiten alle zusammen, um das gewünschte Ergebnis zu liefern. Das bedeutet, dass es absolut essentiell ist, dynamische Tests der Dienste auf dem Application Level durchzuführen.
In einer Microservices-Umgebung erfolgt das Networking direkt zwischen den einzelnen Diensten und auf der Ebene der Instanzen. Tools wie zum Beispiel Project Calico nutzen eine automatisierte Richtlinien-basierte Methode des Networkings, um die einzelnen Dienste mit Hilfe so genannter Micro Firewalls zu schützen. Das Ziel dieser Maßnahmen ist, „gesunde“ Dienste weiter am Laufen zu halten, selbst wenn andere Services kompromittiert oder anderweitig beschädigt wurden. Das Werkzeug erkennt zudem automatisch neue Instanzen und setzt die jeweils erforderlichen Security-Maßnahmen für sie um.
Mit Open-Source-Lösungen arbeiten
Freie Komponenten machen einen großen Teil aus, wenn es um den Applikations-Stack geht. Viele Container-Tools wie Docker, Kubernetes, Prometheus, Istio, Linkerd, gRPC und Spinnaker sind Open Source. Es ist aber nicht immer eine leichte Aufgabe, diese Komponenten auch wirklich sicher und aktuell zu halten.
Spezielle Security Tools für Microservices wie WhiteSource können die Sicherheit dieser Open-Source-Lösungen verwalten. Dazu erkennt das Tool Open-Source-Komponenten automatisch anhand des genutzten Codes, führt dann eine Überprüfung der Nutzung durch, checkt das jeweilige Lizenzmodell und versucht zuletzt, potentielle Risiken zu erkennen und zu vermeiden.
Container-Images absichern
Container haben die Art und Weise massiv verändert, wie Software in Unternehmen verbreitet und veröffentlicht wird. Es reicht aber nicht mehr aus, sich nur mit der Frage zu beschäftigen, ob Docker auch wirklich noch sicher ist. Jede einzelne Ebene der Container-Umgebung muss geprüft und abgesichert werden.
Vor allem ist es wichtig, für automatisierte Scans von Container-Images auf Schwachstellen zu sorgen, die aus öffentlichen Registries stammen. Noch besser ist es, gleich auf interne Registries zu setzen, die nur extra geprüfte Images enthalten. Diese Verzeichnisse versorgen die eigenen Entwickler mit den von ihnen benötigten Umgebungen und sorgen gleichzeitig für die Gewissheit, dass die bereitgestellten Container vorher geprüft und auf Lücken getestet wurden.
Ein Werkzeug wie Twistlock vereint alle diese wesentlichen Sicherheitsmaßnahmen in einem einzigen Tool, mit dem sich Gefahren in Echtzeit erkennen lassen. Twistlock verfügt zudem unter anderem über eine Cloud Native Application Firewall, die externen Traffic weiterleitet und auf Gefahren prüft, bevor er zu den einzelnen Containern gelangt. Das System nutzt dabei sogar Techniken aus dem Bereich maschinelles Lernen, um verdächtige Aktivitäten zu erkennen und um zu verhindern, dass sie produktiv genutzte Container erreichen.
Nur eine weitgehende Automatisierung bietet die dringend benötigten Sicherheitsfunktionen, um auf Microservices aufsetzende Anwendungen weitgehend zu schützen. Dabei gibt es viele Tools, die sich für diese Aufgabe eignen. Auf dem Applikations-Level werden weitere spezialisierte Werkzeuge benötigt, die auch den Netzwerk-Layer und die verschiedenen Open-Source-Komponenten schützen können. Zum Glück bieten viele der neuen Tools aber einen umfassenden Schutz für Microservice-Umgebungen, der nur mit Containern nicht möglich gewesen wäre.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!