LÖSUNGSÜBERSICHT
Sicherheitsautomatisierung für DevOps mit F5 Advanced WAF
Anwendungen stehen im Mittelpunkt der digitalen Strategie moderner Organisationen. Einer Studie von F5 Labs zufolge verwalten Unternehmensorganisationen durchschnittlich 983 Anwendungen, die sich oft über mehrere Clouds und Rechenzentren erstrecken. Moderne Anwendungen werden im Allgemeinen mit verteilten Architekturen entworfen und bis auf die Komponentenebene mithilfe agiler Entwicklungsmethoden erstellt. Dieses Framework für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) ermöglicht DevOps, den Software-Lebenszyklus schnell und effizient zu verwalten. Da die Markteinführungszeit ein primärer KPI (Key Performance Indicator) ist, hat DevOps moderne Arbeitsabläufe und Automatisierung übernommen. Die Sicherheit wird im CI/CD-Sicherheitsworkflow jedoch häufig außer Acht gelassen.
Das Fehlen von Anwendungssicherheitskontrollen im DevOps-Workflow bedeutet, dass sie nicht zusammen mit dem Anwendungscode getestet werden. Dies hat zur Folge, dass Sicherheitsmängel bei Anwendungen möglicherweise erst bei Betriebstests gegen Ende des Entwicklungszyklus entdeckt werden, da die Behebung der Mängel dann wesentlich kostspieliger ist. Die Auswirkungen können erhebliche Verzögerungen bei der Markteinführung, höhere Sanierungskosten oder unzureichende Sicherheitskontrollen sein.
Die effizienteste Lösung zum Schließen der Lücke zwischen den Anwendungs- und Sicherheitsteams besteht darin, Sicherheitstests früher in den CI/CD-Prozess einzuführen. Die Herausforderung besteht darin, dies in großem Maßstab und effizient umzusetzen. Dazu sind sowohl kulturelle als auch technologische Veränderungen erforderlich, bei denen der Schwerpunkt auf betrieblichen Sicherheitstests als Teil der Anwendungsentwicklungsphasen liegt.
Mit der F5 Advanced Web Application Firewall ist es möglich , betriebliche Anwendungssicherheitstests bereits in einem frühen Stadium der Entwicklungspipeline zu integrieren . Dies ermöglicht umfassende Tests sowohl der Funktionsspezifikationen als auch der Sicherheitsrichtlinien bereits in einem frühen Stadium der Pipeline. Das DevOps-Team kann nun Sicherheitsmängel entweder in der Sicherheitsrichtlinie oder in der Anwendung selbst entdecken, während die Anwendung noch entwickelt wird. Wenn das Team Fehler findet, kann es die Behebung effizienter und zu deutlich geringeren Kosten durchführen.
Hauptmerkmale
- Deklarative API-basierte Bereitstellung und Konfiguration ermöglicht die Integration mit DevOps-Tools und -Workflows
- Ermöglicht SecOps, Sicherheit als „Code“ zu verwalten und bereitzustellen, indem leicht lesbare JSON-Dateien für DevOps verwendet werden
- Die Aufnahme von OpenAPI-Dateien unterstützt die automatische Konfiguration der API-Sicherheit
- Die Integration mit Webhooks (z. B. Slack, Teams) ermöglicht eine verbesserte DevOps-Zusammenarbeit und erweiterte Automatisierungsfunktionen
- Möglichkeit, die Basissicherheit über mehrere Anwendungen hinweg zu teilen und benutzerdefinierte Steuerelemente pro App über modulare Richtlinien bereitzustellen
- Möglichkeit zum Teilen von Richtlinienobjekten über Richtlinien hinweg durch Verweis auf gemeinsam genutzte Dateien
Hauptvorteile
- Hilft, Apps schneller, kostengünstiger und mit höherer Sicherheitseffizienz auf den Markt zu bringen
- Verschiebt Sicherheitstests in der Anwendungsentwicklungs-Pipeline „nach links“, um kostengünstigere Abhilfe zu schaffen
- Überbrückt die operative Lücke zwischen SecOps und DevOps
Sicherheit als Code
Die Integration der Anwendungssicherheit in die Entwicklungspipeline wird durch die Verwendung deklarativer APIs erleichtert. Diese API-Befehle können als Teil der automatisierten Entwicklungspipeline zum Bereitstellen und Konfigurieren von Advanced WAF verwendet werden. Die Automatisierung kann mit den Tools erfolgen, die DevOps-Teams bereits verwenden, wie etwa GitLab, Jenkins und Bitbucket.
WAF-Sicherheitsrichtlinien können mit denselben Automatisierungsprozessen auch auf vorhandene WAF-Instanzen angewendet werden. Sicherheitsrichtlinien können als einfache JSON-Datei (JavaScript Object Notation) definiert werden. Die Datei kann einen Zeiger auf den Namen und den Speicherort der WAF-Richtlinie enthalten, normalerweise in einem Repository wie GitHub.
Mithilfe dieses Frameworks kann das SecOps-Team Sicherheitsrichtlinien erstellen, veröffentlichen und verwalten, die dann problemlos von den Entwicklungsteams genutzt werden können. Richtlinien können je nach Anwendung variieren. Beispielsweise kann das SecOps-Team über eine Basisrichtlinie für Anwendungen verfügen, die vor den OWASP Top 10 schützt, die die kritischsten Sicherheitsrisiken für Webanwendungen definieren. Für Anwendungen, die zusätzliche Kontrollen erfordern, können weitere Richtlinien veröffentlicht werden. Dazu können beispielsweise Anwendungen gehören, die vertrauliche Daten verarbeiten oder Finanztransaktionen durchführen. Das Entwicklungsteam nutzt diese Richtlinien auf die gleiche Weise, wie es andere Teile des Anwendungscodes nutzt.
Abbildung 1: Organisationen können deklarative APIs verwenden, um Anwendungssicherheit in die automatisierte Entwicklungspipeline zu integrieren und Advanced WAF bereitzustellen und zu konfigurieren.
Änderungen am Sicherheitscode werden vom CI/CD-Pipeline-Automatisierungstoolset automatisch integriert, angewendet, getestet und erstellt. Dieser Ansatz verlagert die Sicherheitskontrollen weiter nach links (früher) in der CI/CD-Pipeline, sodass die Sicherheit während des gesamten Prozesses eine gemeinsame Verantwortung darstellt. Wie bei jedem anderen Teil der Anwendung wird dadurch eine konsistente Sicherheitsimplementierung in allen Phasen des Entwicklungslebenszyklus sichergestellt: Entwicklung, Test, Qualitätssicherung und Produktion.
Funktionsübergreifende DevSecOps-Teams können zusätzliche Integrationsfunktionen von ChatOps (z. B. Slack) nutzen, um ihre Effizienz zu steigern und sicherzustellen, dass sie immer auf dem gleichen Stand sind. ChatOps kann jedoch über bloße Nachrichten und Warnmeldungen hinausgehen. Durch die Integration in die Pipeline-Tools kann ChatOps den DevOps-Fortschritt in Echtzeit bereitstellen und sogar Pipeline-Aktionen wie Aktualisierungen der Advanced WAF-Richtlinie initiieren.
Abschluss
Erfahren Sie mehr über Advanced WAF:
- Besuchen Sie F5 Advanced WAF
- Besuchen Sie die F5-Webseite zum Web-App- und API-Schutz
- Erfahren Sie mehr über die Automatisierungs- und Orchestrierungs-Toolchain von F5
- Treten Sie der technischen Community von F5 bei