- Anzeige -


Sie sind hier: Startseite » Markt » Hintergrund

Umstieg auf Microservices


Neue Herausforderungen für die Application Security
Wie sich Microservices auf die Anwendungssicherheit auswirken

- Anzeigen -





Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem Vormarsch. Veracode nennt drei zentrale Herausforderungen, die das für die Anwendungssicherheit mit sich bringt. Microservices sind im Software Development schon seit mehreren Jahren auf dem Vormarsch. Viele kleine Services anstatt einzelner monolithischer Applikationen zu entwickeln, bieten in der Tat zahlreiche Vorzüge. Eine kleine Auswahl der positiven Effekte einer Microservices-Architektur:

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

>> Services in verschiedenen Apps mehrfach nutzen. Die Grenzen zwischen Anwendungen verschwinden. Das verändert auch, was eine Applikation eigentlich ausmacht. Ein Beispiel: An die Stelle von vier Apps mit jeweils einer Komponente zur Zahlungsabwicklung tritt ein Microservice für Zahlungen, den mehrere Anwendungen nutzen können.

>> Von größerer technologischer Vielfalt profitieren. Der Entwickler ist für die Dauer eines Projekts nicht länger auf eine einzige Plattform festgelegt. Vielmehr wählt er passgenau die Technologie, die die Anforderungen eines bestimmten Services am besten erfüllt.

>> Vereinfachte Wartung. Wenn ein Teil der Lösung veraltet ist oder Funktionsstörungen auftreten, muss nur ein kleiner Service aktualisiert oder ersetzt werden. Ein enormer Vorteil, denn bei großen Monolithen können schon kleinste Veränderungen gewaltige Wellen schlagen und einen Testing-Albtraum nach sich ziehen.

>> Höheres Entwicklungstempo. Anders als bei großen Plattformen lassen sich kleine Änderungen in einer Microservices-Architektur zügig planen, testen und implementieren. Dies beschleunigt Innovationen – und Unternehmen können neue Funktionen deutlich schneller auf den Markt bringen.

Neue Herausforderungen für die Application Security

Doch wie beeinflussen Microservices ein Programm zur Anwendungssicherheit – speziell im Hinblick auf das beschleunigte Entwicklungstempo, das sie mit sich bringen? Wo ergeben sich neue Herausforderungen für die Application Security? Die häufigsten Diskussionen drehen sich um folgende drei Aspekte:

>> Streben nach Hochgeschwindigkeit. Der Umstieg auf Microservices ist häufig ein Kernelement bei der Einführung von DevOps. Denn mit dem Application-Security-1.0-Ansatz – der Code wird zur Analyse an ein Sicherheitsteam geschickt und dieses liefert anschließend einen Report – bleibt entweder die Geschwindigkeit oder die Sicherheit auf der Strecke. Beides ist für eine DevOps-Kultur unakzeptabel, verspricht diese doch, qualitativ hochwertige – und umfassend gesicherte – Software schnell auf den Markt zu bringen. Das ist jedoch nur möglich, wenn die Anwendungssicherheit Softwaretests automatisiert und mit schnellen Feedbackschleifen ins DevOps-Konzept integriert.

>> Zentralisierte Sicht. Der Umstieg auf Microservices bedeutet für ein Application-Security-Team, dass es mehr – wenn auch kleinere – Anwendungen verwalten muss. Was vordem eine einzige Anwendung war, besteht nun aus Dutzenden von Microservices. Das stellt auch kleine und mittelständische Unternehmen vor eine Herausforderung, die große Firmen schon seit Jahren beschäftigt: Wie lässt sich ein effektives Anwendungssicherheitsprogramm nach Maß betreiben? Hier wird deutlich, wie wichtig eine leicht skalierbare Lösung ist, die eine zentrale Sicht ermöglicht und damit Compliance, die Pflege des Inventars sowie eine kennzahlengestützte Überwachung sicherstellt.

>> Technologisch Schritt halten. Einer der größten Vorteile von Microservices ist, dass genau die Technologie zum Einsatz kommt, die eine bestimmte Anforderung erfüllt. Entwicklungsteams sind immer seltener auf einzelne Programmiersprachen spezialisiert. Neben Java nutzen sie auch Scala oder Node.js und beginnen, sich darüber hinaus beispielsweise GO anzueignen. Solch ein agiles Entwicklungsteam braucht ein agiles Sicherheitsprogramm, das seinen Support laufend auf zusätzliche Frameworks, Programmiersprachen und Integrationspunkte ausweitet.

Agile Anwendungssicherheit
Mit dem Umstieg auf Microservices oder noch einen Schritt weiter auf DevSecOps sollte es jedem Unternehmen möglich sein, Software schneller und in höherer Qualität zu entwickeln. Die Application Security muss diesen Wandel jedoch mitmachen und sich entsprechend anpassen. Andernfalls kommt es zum Konflikt zwischen Bereitstellungsgeschwindigkeit und Sicherheit der Software. (Veracode: ra)

eingetragen: 30.09.17
Home & Newsletterlauf: 03.11.17

Veracode: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Wettbewerbsvorteile durch guten Service

    Was macht guten Service in Zeiten des digitalen Wandels aus? Und wie können Unternehmen diesen bieten? Fragen, mit denen sich derzeit zahlreiche Manager auseinandersetzen. Denn durch die Digitalisierung gelangen stetig neue Technologien auf den Markt, die Geschäftsprozesse, Kunden, Mitarbeiter und Services beeinflussen. "Manager sind angehalten, auf die Herausforderungen einzugehen und die Weichen zu stellen", weiß Martin Beims, geschäftsführender Gesellschafter der Aretas GmbH. "Elementar ist dabei die Gestaltung entsprechender Bedingungen und Prozesse für Menschen, statt sie in bestehende Systeme und Lösungen aus der Literatur zu zwängen. Dafür müssen die Verantwortlichen vor allem eines berücksichtigen: Emotionen."

  • Cloud beim Identitätsmanagement

    HID Global sieht eine steigende Nutzung der Cloud beim Identitätsmanagement. Gründe sind eine einfachere Bereitstellung, größere Flexibilität und niedrigere Kosten. Cloud-basierte Plattformen sind inzwischen das Backbone vieler neuer Technologien und optimieren künftig auch die Bereitstellung von Identitätslösungen. Sie bieten Unternehmen eine größere Flexibilität hinsichtlich Upgrade und Skalierung ihrer Sicherheitsinfrastruktur und die Möglichkeit, neue kosteneffizientere Managed-Service-Modelle einzuführen. Vor allem Cloud-basierte integrierte Management-Plattformen werden für digitale IDs eine vorrangige Rolle spielen. Für Administratoren wird es dadurch wesentlich einfacher, ein integriertes System bereitzustellen und zu verwalten - und zwar während des kompletten Identity-Lifecycles von der Zuweisung bis zur Löschung eines Accounts. Zugangsrechte von Mitarbeitern können einfach verwaltet, überwacht und flexibel an deren jeweilige Rolle im Unternehmen angepasst werden.

  • Die passende Cloud macht den Unterschied

    Ziel der Richtlinie 2016/943 ist ein einheitlicher Mindestschutz für Geschäftsgeheimnisse in Europa - doch was ändert sich damit? Und was hat die Wahl eines sicheren Cloud Computing-Dienstes damit zu tun? Die Richtlinie definiert unter anderem den Begriff des Geschäftsgeheimnisses sowie die wesentlichen Dreh- und Angelpunkte des Geheimnisschutzes; außerdem listet sie erlaubte Handlungen sowie Handlungsverbote auf. Eine der schwerwiegendsten Neuerungen dürfte sein, dass Geschäftsgeheimnisse nur noch dann als geschützt gelten, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. In Betracht kommen dabei sowohl technische Zugangsbeschränkungen und Vorkehrungen als auch vertragliche Sicherungsmechanismen; die Beweislast liegt dabei beim Geheimnisinhaber.

  • Verschlüsselung: Komplex und kompliziert?

    Obwohl Verschlüsselung als eine der wichtigsten Technologien zum Schutz von Daten und Anwendungen gesehen wird gilt sie traditionell als komplex. Besonders die Implementierung in bestehende, fragile Umgebungen hat den Ruf schwierig zu sein. Dazu kommen unklare Abteilungszuständigkeiten, zu wenig spezialisiertes Personal und die Angst, dass sich eine umfassende Verschlüsselungslösung negativ auf die Leistung der Systeme auswirkt. Nicht zuletzt befürchten die Verantwortlichen, dass sie Insellösungen produzieren, und kein Konzern will mit verschiedenen Verschlüsselungslösungen jonglieren müssen.

  • Mobile Sofortnetze im Katastrophenfall

    5G, die nächste Mobilfunkgeneration, steht auf der Türschwelle. Aktuell werden LTE-Mobilfunknetze auf der ganzen Welt mit neuen Frequenzbändern und fortschrittlichen Funktechnologien, etwa "LTE-Narrowband-IoT", aufgerüstet. Die kommerzielle Nutzung von 5G-Technologien wird bereits erprobt, in Deutschland etwa an der A9 durch ein großangelegtes Projekt zum autonomen Fahren, an dem sich Autohersteller, Netzwerkausrüster und die Deutsche Bahn beteiligen. Eine breite kommerzielle Verfügbarkeit erster 5G-basierter Anwendungen ist für 2020 vorgesehen.

  • Zeitgemäßes ITSM in der VUCA-Welt

    An agilen Prozessen gibt es kein Vorbeikommen mehr. Doch sind die alt hergebrachten Methoden aus dem IT-Service-Management (ITSM) überhaupt noch in der Lage, Unternehmen im Zeitalter der Agilität adäquat zu unterstützen? Oder hat klassisches ITSM ausgedient? Flüchtigkeit, Ungewissheit, Komplexität und Mehrdeutigkeit (englisch kurz VUCA) - diese Begriffe beschreiben die heutige Welt und die Lage von Unternehmen sehr treffend. Für die IT bedeutet diese Situation, dass neben Stabilität, Sicherheit und Zuverlässigkeit eine hohe Veränderungsgeschwindigkeit erwartet wird. Es reicht nicht mehr, zuverlässige Produkte zu verkaufen, um sich von den neuen Massenmärkten zu differenzieren. Letztlich gibt es daher kein Vorbeikommen mehr an agilen Prozessen: Nach der IT-Entwicklungsabteilung hat die Welle der Agilität schon lange auch das IT-Service-Management (ITSM) erreicht.

  • Hochtechnologie aus der Cloud

    Die Zielsetzung des EU-Projekts "CloudiFacturing" ist, Produktionsprozesse über einen digitalen Marktplatz zu optimieren. Das Projekt richtet sich an kleine und mittelständische Unternehmen (KMU). Diesen wird hochmoderne und komplexe Modellierungs- und Simulationssoftware über die Cloud zur Verfügung gestellt. "Angesichts der Tatsache, dass weniger als 25 Prozent der KMU in Europa moderne Informations- und Kommunikationstechnologie einsetzen, hat das aktuelle Projekt ein klares politisches Ziel. "Cloudification-Dienste" werden zum Wegbereiter für die Digitalisierung der Fertigungsindustrie", so Prof. Dr.-Ing. André Stork, Abteilungsleiter Interaktive Engineering Technologien vom Fraunhofer-Institut für Graphische Datenverarbeitung IGD, das die Führung und Koordination des Projekts innehat.

  • Cloud Computing-Nutzung in Unternehmen

    Cloud Computing-Dienste werden aus der Unternehmenslandschaft künftig nicht mehr wegzudenken sein. Der Aufwärtstrend in der Einführung von Cloud Computing-Services hält branchenübergreifend weiter an. Wie die diesjährige Studie von Bitglass, an der 135.000 Unternehmen weltweit teilgenommen haben, zeigte, liegt die Cloud Computing-Nutzung mittlerweile bei 81 Prozent - eine Zunahme von 37 Prozent gegenüber 2016. Einen nicht unwesentlichen Beitrag dazu leistet Office 365. Für viele Unternehmen ist die Office 365-Suite schlichtweg eine natürliche Erweiterung ihrer bestehenden Systeme, womit der Umzug in die Cloud zu einer standardmäßigen Wahl wird. Dementsprechend ist die Nutzung von Office 365 seit dem Zeitpunkt der letzten Erhebung im Jahr 2016 von 34,3 auf 56,3 Prozent gestiegen. Einen ähnlichen Erfolg können die Amazon Web Services verzeichnen: Mit einer Verbreitung von 13,8 Prozent weltweit ist AWS auf einem guten Weg, die Standard-IaaS-Lösung zu werden.

  • ITSM muss störungsfrei funktionieren

    Die vieldiskutierte "digitale Transformation" bedeutet vor allem, dass Geschäftsprozesse hochgradig, im Idealfall vollständig IT-gestützt ablaufen. Der reibungslose IT-Betrieb wird somit geschäftskritisch - selbst in Bereichen, in denen er es nicht längst schon ist. Dadurch kommt auch den (IT-)Service-Prozessen ein deutlich höherer Stellenwert zu: Service-Management wird zum strategischen Erfolgsfaktor. Doch wie wird sich das äußern? Das IT-Service-Management (ITSM) muss störungsfrei funktionieren, daran führt kein Weg vorbei. Denn es umfasst immer stärker das gesamte Unternehmen - nicht umsonst spricht man hier nicht mehr nur von ITSM, sondern von Business-Service-Management (BSM) oder Enterprise-Service-Management (ESM), welches mehr als nur IT Prozesse unterstützt und die "Service-ifzierung" im Unternehmen unterstützt. Der Schritt zum ESM erfordert Automation, den Einsatz künstlicher Intelligenz - und vor allem ein vorausschauendes Prozessdesign.

  • Im ITSM hat sich ITIL zum Standard entwickelt

    Es gibt kein Vorbeikommen mehr an agilen Prozessen: Das Thema beschäftigt die deutschen Unternehmen gleichermaßen wie die internationalen. Nach der IT-Entwicklungsabteilung hat die Welle der Agilität schon lange auch das IT-Service-Management (ITSM) erreicht.[1] Dabei dreht sich alles um die Idee, Prozesse zu verschlanken, Bereitstellungsszyklen zu verkürzen, flexibler in der Leistungserbringung zu sein und schneller auf veränderte Anforderungen im Markt reagieren zu können. Vermehrt stellt sich daher die Frage, ob die traditionellen ITSM-Methoden noch mithalten können und in der Lage sind, die neuen Aufgaben zu erfüllen. "Regelwerke wie COBIT, ITIL und Co. werden häufig als starre Rezeptbücher missverstanden. So machen sich die Verantwortlichen jedoch letztlich zur Geisel dieser Standards und verschließen sich vor agilen Prozessen", erläutert Martin Beims, geschäftsführender Gesellschafter der aretas GmbH. Eine zu enge Ausrichtung auf Standards kann den individuellen Anforderungen der Unternehmen oft nicht gerecht werden. Stehen die klassischen ITSM-Methoden im Widerspruch zur Agilität? Oder ist beides vereinbar?