Im Folgenden wollen wir ein mit Azure Functions – also serverless – implementiertes API mit modernen Mitteln absichern, indem wir eine JSON-Web-Token-(JWT-)Validierung hinzufügen. Vorkenntnisse in OAuth 2 [1], JWT [2] und Identity Provider (IDP) [3] sind von Vorteil, aber nicht zwingend notwendig.
Container und Plattformen wie Kubernetes sind mittlerweile ein beliebtes Angriffsziel von Hackern. In diesem Artikel zeigt Andreas Jaekel, Head of PaaS Development bei IONOS, wie man seine Container absichern kann, denn von Natur aus sicher sind sie nicht.
Nachrichten zu verschlüsseln schützt nicht vor Manipulation. Wie lässt sich die Integrität von Daten beweisen? Hash-Funktionen und Message-Authentication-Codes helfen.
Vielleicht nicht sexy und hip, dafür aber die wichtigste Basis aller technischen Lösungen: Digitale Zuverlässigkeit. Was kann man aber wirklich tun, um Systemausfälle und Umsatzeinbußen zu vermeiden und dennoch trendsetzende digitale Services anzubieten? Berit Jungmann und Frank Schönefeld von T-Systems Multimedia Solutions geben Antwort auf diese Frage.
Virtuelle Maschinen (VM) lassen sich schnell erstellen, ändern und wieder löschen. So sind sie zu einem wichtigen Bestandteil der App-Entwicklung geworden. Doch wenn neue VMs nicht sorgfältig behandelt werden, können sie die Infrastruktur belasten und Schwachstellen verursachen. Die Sicherheit beginnt dabei mit dem Schutz der Maschinen-Identität.
Sicherheit geht vor! Das gilt auch und vor allem im DevOps-Umfeld. DevSecOps ist das nicht mehr ganz so neue Schlagwort. Wir sprachen mit Christian Schneider, freiberuflicher Whitehat-Hacker, Trainer und Securitycoach, über die Definition von DevSecOps, beliebte Sicherheitslücken und Best Practices, um den Sicherheitsaspekt möglichst holistisch im Entwicklungsprozess abzubilden.
HashiCorp hat Version 1.3 seines Open-Source-Werkzeugs Vault veröffentlicht. Zu den größten Neuerungen zählen ein neuer CLI-Befehl, Support für die Oracle Cloud Infrastructure und Verbesserungen im Integrated Storage.
Das Ziel, möglichst sichere IT-Systeme zu bauen, ist Entwicklern nicht fremd – zumindest theoretisch. Was aber, wenn das Kind schon in den Brunnen gefallen ist und die Software bereits angegriffen wurde? Dann helfen IT-Forensiker wie Martin Wundram, der uns im Interview eine kleine Einführung gibt und erklärt, warum IT-Forensik auch Entwickler und Software-Architekten angeht.
Kubernetes ist nicht mehr wegzudenken und genießt einen hohen Stellenwert bei Endnutzern und Public-Cloud-Providern. Der Trend zum eigenen Kubernetes-Cluster bleibt auch von Angreifern nicht unbemerkt. Die Vielschichtigkeit der Technologie, angefangen vom Design der laufenden Applikationen über Container hin zur Clusterarchitektur, erlaubt eine Menge neuer Angriffsvektoren und Potenziale für Fehlkonfigurationen.
Auf der Hannover Messe Industrie drehte sich dieses Jahr alles um die sogenannte Industrie 4.0, aber das Thema köchelt ja schon länger. Anscheinend kann es den Managern gar nicht schnell genug damit gehen, ihre Produktionsanlagen zu vernetzen und zumindest indirekt mit dem Internet zu verbinden. Dabei hat schon Stuxnet [1] gezeigt, welche Folgen Angriffe auf Industriesteuerungen haben können. Und seitdem ist es nicht besser geworden.
Sicherheitsaspekte spielen bei Cloud-Lösungen eine zentrale Rolle. Amazon CTO Werner Vogels beschreibt in diesem Beitrag die beiden Technologien Zelkova und Tiros, die bei AWS automatisiert dafür sorgen sollen, dass Cloud-Systeme sicher sind.
DevOps-Praktiken sind an einem Ort, Container sind überall, Pipelines fliegen. Daher sollten man sich auch auf die Einhaltung von Sicherheitspraktiken zum Schutz der eingesetzten Ressourcen konzentrieren. Wie man CI/CD-Pipelines am besten sichert, zeigt Victoria Almazova in ihrer Session von der DevOpsCon 2019 .
Sicherheit geht vor, gerade in der Welt der Web-Anwendungen. In seiner Session von der DevOpsCon 2019 gibt Christian Schneider, Sicherheitsexperte und freiberuflicher Softwareentwickler, eine umfangreiche Übersicht über die Open Source Tools, die von Security-Spezialisten und Pentestern im Berufsalltag eingesetzt werden, um Sicherheitslücken aufzudecken.
Der Elastic Stack ist in Version 7.4 erschienen und hat neue Features für Cluster, neue Aggregations- und Machine-Learning-Funktionen sowie Verbesserungen bei der Stack-Sicherheit im Gepäck. Wir werfen einen Blick auf die neuen Features.
Der DevOps-Ansatz hat sich in der Software-Entwicklung in den vergangenen Jahren immer weiter durchgesetzt. Die effizientere und effektivere Zusammenarbeit von Entwicklung und IT-Betrieb bringt allen Beteiligten zahlreiche Vorteile: So steigt nicht nur die Qualität der Software, sondern auch die Geschwindigkeit, mit der neue Lösungen entwickelt und ausgeliefert werden. Es verwundert also nicht, dass mit der Verbreitung von DevOps auch die Sicherheit optimiert werden muss. Wie DevOps und Sicherheit zusammenspielen, zeigt der State of DevOps Report 2019 aus dem Hause Puppet.
„Unternehmen müssen die Sicherheit von Schnittstellen in einer immer digitaleren Welt gewährleisten“, sagt Sven Kniest, Regional Vice President und Country Manager DACH bei Okta. Im vorliegenden Artikel bespricht er eingehend die aktuellen Herausforderungen und Probleme, wenn es um die Sicherheit von APIs geht. Er geht zudem darauf ein, warum die API Security an erster Stelle stehen sollte.
Node.js erhält jeden Monat ein umfassendes Sicherheitsupdate für alle derzeit aktiven und in der LTS-Phase befindlichen Releasezweige. Derzeit sind das Node 8, 10 und 12. Gefixed wurden für alle drei Versionen nun gleich acht Sicherheitslücken.
Cybersicherheit stellt eine der größten Hürden bei der Umsetzung von DevOps-Projekten dar. Laut einer aktuellen Studie des IT-Sicherheitsanbieters Trend Micro sind 92 Prozent der deutschen IT-Entscheider der Meinung, dass die Implementierung von DevOps negative Auswirkungen auf die Sicherheit ihres Unternehmens hat.
HashiCorp hat Version 1.2 seines Open-Source-Werkzeugs Vault veröffentlicht. Zu den größten Neuerungen zählen die Identity Tokens, ein Integrated Storage sowie eine erweiterte Database Secret Engine. Nutzer der Enterprise-Version dürfen sich zusätzlich über eine KMIP Server Secret Engine freuen.
Die Relevanz von Cybersecurity für den Erfolg eines Unternehmens hat in den letzten Jahren stark zugenommen. Cyberangriffe werden immer ausgefeilter und sind allgegenwärtig, was zu einer Intensivierung regulatorischer Kontrollen führt. Diese Situation hat eine bisher beispiellose Nachfrage nach IT-Securityexperten geschaffen, die den Arbeitsmarkt völlig unvorbereitet traf. Marina Kidron, Director of Threat Intelligence bei Skybox Security, gibt in diesem Artikel Auskunft darüber, welche Skills Cybersecurityexperten in Zukunft benötigen werden.
