Bereich 10 Anwendungs-Sicherheit

vPierre Cloud, Cloud Computing, Sicherheit / Security Leave a Comment

Dieser Bereich befindet sich in der Entwurfsphase. Der erste Entwurf wird geschrieben und nach einem Überprüfungszeitraum für Feedback geöffnet.

Hinweis: in Version 3 der Anleitung enthielt dieser Bereich umfangreiches Material, dass sich überlappte

  • Einleitung:
  • Definition und Geltungsbereich
    • Dieser Bereich der Anleitung ist für Softwareentwickler und IT-Teams gedacht, die Anwendungen in Cloud-Umgebungen sicher aufbauen — und aufstellen — wollen, insbesondere in PaaS und IaaS
      • Wie unterscheidet sich die Anwendungs-Sicherheit in der Cloud
      • Überblick der Grundlagen sicherer Softwareentwicklung und wie sich diese in der Cloud ändern
      • Ausnutzung von Cloud-Fähigkeiten für sicherere Cloud-Anwendungen
    • Einfluss der Cloud auf Anwendungs-Sicherheit
      • Möglichkeiten
        • Basissicherheit des Cloud-Providers
        • APIs und Automatisierung
        • Hyper-Abgrenzung
          • Architekturen für Mikroservices
        • Elastizität, Orchestrierung und unveränderliche Infrastruktur
        • DevOps
      • Herausforderungen
        • Änderungen der Kontrolle und Sichtbarkeit
        • Sicherheit der Managementebene/Metastruktur
        • Beziehung zum Cloud-Provider und Modell geteilter Sicherheit
        • Transparenz und Kenntnis der Fähigkeiten des Cloud-Providers
  • Überblick
  • Einführung zum Sicherheitsentwicklungszyklus und Cloud-Computing
    • Definition eines SDLC
    • „Meta“-Phasen
      • Phasen sind nicht unbedingt linear und häufig zyklisch mit Prozessen, die agil sind und/oder DevOps
      • Sichere Gestaltung und Entwicklung
      • Sichere Aufstellung
      • Sicherer Betrieb
    • Einfluss des Cloud-Computing auf SDLC
      • Überblick
        • Modell geteilter Verantwortlichkeiten
          • Änderungen bei Sichtbarkeit und Kontrolle
        • Fähigkeiten und Grenzen des Cloud-Providers
        • Managementebene/Metastruktur
        • Neue und unterschiedliche architektonische Optionen
        • Aufkommen und Einfluss von DevOps
      • Sichere Gestaltung und Entwicklung
        • Vier Phasen
          • Definition – Bestimmung anerkannter Architekturen oder Funktionen/Tools für den Provider, von Sicherheitsstandards und anderen Anforderungen. Definition der Aufstellungs- und Betriebsprozesse infolge der beim Cloud-Computing geforderten engen Kopplung.
          • Design – das Augenmerk für Sicherheit in der Cloud liegt auf der Architektur, den grundlegenden Fähigkeiten des Cloud-Providers, Merkmalen des Cloud-Providers sowie der Automatisierung und Verwaltung der Sicherheit für Aufstellung und Betrieb. Aktualisierung der Bedrohungsmodellierung für die Cloud
          • Entwicklung – sichere Entwicklungsumgebung. Ausbalancierung zwischen Sperren der Managementebene und der nötigen Flexibilität der Entwickler in der Metastruktur.
          • Test – Integration von Sicherheitstests in den Entwicklungsprozess/Pipeline. Mehr Vertrauen auf automatisierte Tests in der Cloud und Infrastruktur steht häufiger im Fokus wegen „Infrastruktur als Code“. Funktionsmarkierung für sicherheits-sensible Fähigkeiten. Das schlägt durch in die Entwicklung.
      • Sichere Aufstellung
        • Automatisierung ist in der Cloud prominenter
        • Tests sind oft in Aufstellungsprozesse und Pipelines integriert
          • Auswirkung auf Code-Tests
            • Code-Überprüfung/SAST
            • Unit-Tests, Regressions-Tests, Sicherheits-Stresstests, Fuzzing/DAST und wie sie sich in der Cloud ändern.
            • Automatisierte Infrastruktur-/Server-Tests sind wegen automatisierter Deployment-Pipelines in der Cloud empfohlen.
          • Auswirkung auf die Schwachstellenanalyse
          • Auswirkung auf Penetrations-Tests
        • Sicherung der Deployment-Pipeline
          • Verbesserungen bei Audits/Protokollierung und Veränderungsmanagement
        • Auswirkung auf Infrastruktur als Code
        • Sicherheitsvorteile von unveränderlichen Aufstellungen
      • Sicherer Betrieb
        • Beschränkung der Managementebene
        • Überwachung/Protokollierung für die Cloud
        • Automatisierung der Erkennung und Beseitigung von Abweichungen von der Richtlinie
          • Muss auf Sicherheitsautomatisierung vertrauen, keine manuellen Beurteilungen
        • Fortwährende Tests und Beurteilungen von Anwendungen
          • Unterschiede bei Schwachstellenanalyse und Penetrations-Tests in der Cloud
        • Veränderungsmanagement und Integration mit Deployment-Pipelines
        • Vorfallsreaktion
          • Siehe den Bereich IR
  • Wie sich die Cloud auf Design und Architekturen von Anwendungen auswirkt
    • Wichtige Trends und Unterschiede:
      • Abgrenzung standardmäßig
        • Erweiterte Abgrenzung durch virtuellen Netzwerke und Konten
      • Unveränderliche Infrastruktur
        • z.B. Deaktivierung von SSH im produktiven Betrieb
      • Erhöhter Einsatz von Mikroservices und Sicherheitsauswirkung
      • PaaS und „serverlose“ Architekturen
        • Potenzial für drastisch verringerte Angriffsflächen
      • Rolle der Metastruktur/Managementebene, APIs und der Infrastruktur- und Plattformautomatisierung
      • per Software definierte Sicherheit
      • ereignisgesteuerte Sicherheit
      • Bereiche für besonderes Augenmerk
        • Identitäts- und Zugangs-Management
          • Siehe diesen Bereich
        • Verschlüsselung
        • Überwachung/Protokollierung
        • Erkennen und Reagieren auf Änderungen
        • Siehe den Bereich Infrastruktur für weitere Besonderheiten dazu
  • Aufkommen und Rolle von DevOps
    • Definition
    • Deployment-Pipelines und kontinuierliche Aufstellung/Lieferung
    • Sicherheitsauswirkungen und Vorteile
      • Standardisierung
      • Automatisierte Tests
      • Unterstützt unveränderliche Systeme
      • Verbesserungen für Audits und Veränderungsmanagement
    • SecDevOps und robuste DevOps
  • Empfehlungen
  • Verstehen Sie die Sicherheitsfähigkeiten Ihres Cloud-Providers. Nicht nur die Baseline, sondern auch die verschiedenen Plattformen und Dienste.
  • Integrieren Sie die Sicherheit in den anfänglichen Gestaltungsprozess. Cloud-Aufstellungen sind häufiger Neuland und schaffen neue Möglichkeiten, sich frühzeitig um die Sicherheit zu kümmern.
  • Auch wenn Sie keinen formalen SDLC haben, überlegen Sie einen Wechsel zum kontinuierlichen Deployment und automatisieren die Sicherheit in der Deployment-Pipeline.
  • Verstehen Sie die neuen architektonischen Optionen und Anforderungen in der Cloud. Aktualisieren Sie Ihre Sicherheitsrichtlinien und Standards dafür und versuchen nicht lediglich, bestehende Standards auf einem völlig anderen Datenverarbeitungsmodell durchzusetzen.
  • Integrieren Sie Sicherheitstests in den Entwicklungsprozess.
  • Nutzen Sie per Software definierte Sicherheit zur Automatisierung von Sicherheitskontrollen.
  • Nutzen Sie falls verfügbar ereignisgesteuerte Sicherheit zur Automatisierung der Erkennung und Beehebung von Sicherheitsproblemen.

Nutzen Sie verschiedene Cloud-Umgebungen zur Steuerung des Zugriffs auf die Managementebene, während sie Entwickler weiterhin aktivieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.