Jüngste Sicherheitsverletzungen unterstreichen die Unsicherheit bei der Integration

Eine alte Maxime, die besagt, dass Integration der Feind der Sicherheit ist, war noch nie so offensichtlich wie nach einer Reihe von hochkarätigen Sicherheitsverletzungen, die in den letzten Wochen das Vertrauen in die IT erschüttert haben.

Exploits von Software-Lieferketten haben zu einer Reihe von Vorfällen geführt, die nur allzu deutlich zeigen, wie Abhängigkeiten, die zwischen mehreren Diensten bestehen, verheerende Auswirkungen auf den Downstream haben können, und die alle auf einen einzigen Verstoß zurückgeführt werden können.

 Leider verschlimmert sich die Situation meistens erst, bevor sie wieder besser wird. Die meisten neuen Softwareprogramme werden auf eine eher modulare Art und Weise hergestellt. Dabei kommen Microservices zum Einsatz, die es Unternehmen ermöglichen, Anwendungen schneller zu erstellen und zu aktualisieren. Statt ein einzelnes monolithisches Stück Software aktualisieren zu müssen, können neue Funktionen durch „Rip and Replace“ von Microservices in eine Anwendung integriert werden. Durch diesen Ansatz wird die Anwendung auch widerstandsfähiger, da Serviceanfragen nicht abstürzen, sondern zu einem anderen Microservice umgeleitet werden, wenn ein Teil der Anwendung nicht verfügbar ist.

Aus sicherheitstechnischer Sicht bringt dieser Ansatz in der Softwareentwicklung viele Herausforderungen mit sich.  Zwischen allen Anwendungsschnittstellen (Application Programming Interfaces, APIs) werden verschiedenste Abhängigkeiten geschaffen, damit die Microservices miteinander kommunizieren können. Wird auch nur ein Microservice geknackt, können Hacker Zugang zu allen anderen Softwarekomponenten erhalten, auf die der Microservice Zugriff hat. Innerhalb kürzester Zeit breitet sich die Malware dann lateral über die gesamte Anwendungsumgebung aus.

Um dies zu verhindern, müssen Unternehmen beim Erstellen von Software die besten DevSecOps-Praktiken anwenden. Bei der Bereitstellung und Aktualisierung jedes einzelnen Microservices muss dieser auf Schwachstellen überprüft werden. Im Idealfall suchen Entwickler bereits nach Sicherheitslücken, während sie den Code schreiben, aus dem sich der Microservice zusammensetzt.

Die gute Nachricht: Statt eine ganze monolithische Anwendung zu patchen, müssen jetzt nur noch die Container gerippt und ersetzt werden, sobald eine Schwachstelle aufgedeckt wird. Viele der heutzutage entdeckten Schwachstellen lassen sich oft nicht so leicht beheben, da Anwendungsentwickler einfach nicht die Zeit haben, ganze monolithische Anwendungen zu patchen.

Der Wechsel hin zu einer Microservices-Architektur vergrößert auch die Angriffsfläche drastisch, denn was einmal eine einfache Anfrage und Antwort von einem einzigen Webserver war, umfasst heute ein Dutzend Anfragen und Antworten an verschiedenste Hosts. IT-Teams müssen außerdem Firewalls und API-Gateways bereitstellen, um eine tatsächliche Isolation einzelner Microservices gewährleisten zu können. IT-Teams müssen sicherstellen, dass sie Identitäts- und Zugriffskontrollen wie das OATH-Protokoll implementiert haben, um sicherzustellen, dass jeder Aufruf an den Microservice legitim ist.

Glücklicherweise wird derzeit auch daran gearbeitet, möglichst jedem Microservice bald eine eigene Identität zuweisen zu können. Die Cloud Native Computing Foundation (CNCF) hat beispielsweise eine Open-Source-SPIFFE-Spezifikation (Secure Production Identity Framework For Everyone ) und die SPIFFE Runtime Environment (SPIRE) eingeführt, um Softwaredienste mit kryptografischen Identitäten zu authentifizieren, die plattformunabhängig sind. Den Kern der SPIFFE-Spezifikation bilden kurzlebige kryptografische Identitätsdokumente, die als SVIDs bekannt sind und über eine API aufgerufen werden. Workloads verwenden eine SVID, wenn sie sich gegenüber anderen Workloads authentifizieren, indem sie eine TLS-Verbindung aufbauen oder ein JSON-Web-Token (JWT) signieren und verifizieren.

Unabhängig davon, wie viel Cybersecurity-Expertise ein Unternehmen heute aufweist — mit hoher Wahrscheinlichkeit unterschätzen die meisten Unternehmen zu Beginn des neuen Jahres, was zur Sicherung von Anwendungsumgebungen erforderlich ist, die bald aus Tausenden von Microservices bestehen werden. Leider haben Cyberkriminelle, die im Auftrag von Nationalstaaten arbeiten, bereits bewiesen, wie gut sie den Aufbau moderner Software verstehen, sodass es wirklich nur noch eine Frage der Zeit ist, bis weitere ähnliche Sicherheitsverletzungen entdeckt werden.