Shift (Web-App) Sicherheit Links

Das Konzept des „Shifting Left“ für entsprechende IT-Anliegen nimmt zu. Die Idee besteht im Wesentlichen darin, mehr in die Bereitstellungspipeline der App-Entwicklung zu investieren. Wenn diese Funktionen früher angewendet werden, kann dies zu einer größeren Stabilität und Sicherheit des resultierenden Codes führen. Sicherheit ist eine der Funktionen, die erhebliche Vorteile hinsichtlich der Reduzierung von Konflikten und Fehlern bringen kann, die in der Produktion auftreten und Zeit und Geld kosten, die das Unternehmen lieber nicht ausgeben möchte.

Meistens handelt es sich bei den Sicherheitsfunktionen, die für eine „Shift-Left“-Veränderung vorgeschlagen werden, um solche, die sich direkt auf den Code beziehen: Schwachstellenscans, automatisches Patchen, Angriffserkennung und ähnliche Dienste. Was selten (tatsächlich wahrscheinlich bis zu diesem Beitrag nie) erwähnt wird, sind die Vorteile, die sich aus der Verlagerung von Web Application Firewall-Funktionen nach links ergeben.

Es gibt eine gute Logik hinter der Verschiebung dieser Art von Funktionalität nach links, nämlich die Anwendungsaffinität . Hochgradig anwendungsaffine Dienste wie Web-Anwendungssicherheit sowie Lastausgleich und -optimierung sind anwendungsspezifisch . Kein Protokoll wie HTTP, sondern die eigentliche Anwendung selbst. Insbesondere Anwendungssicherheit und -optimierung umfassen oft Konfigurationen, die das Verständnis bestimmter URIs (wie RESTful-API-Aufrufe), der ausgetauschten Datentypen (und ihrer Formate) sowie die Identifizierung von Benutzern und Geräten erfordern, die für die App oder bestimmte Teile der App spezifisch sein können.

Dies bedeutet, dass die Sicherheitsrichtlinie für Webanwendungen weitgehend auf der Anwendung basiert und daher nur für diese Anwendung gilt. Das Abgleichen von Daten und URIs kann (und tut dies auch) zu Fehlern führen, die zu einem Absturz der Anwendung führen können. Wenn dieser Fehler erstmals in der Produktion auftritt, rollen Köpfe. Es geht Zeit verloren, Geld wird vergeudet, das Koffeinbudget für die Woche explodiert und alle anderen trinken für den Rest des Monats gefärbtes Wasser. Überhaupt nicht gut.

Das Verschieben der Konfiguration und des Tests dieser anwendungsaffinen Richtlinien nach links, in den Testbereich, kann ein erheblicher Vorteil sein, wenn es darum geht, die meisten (hoffentlich alle außer Heisenberg) Konflikte oder Fehler zu eliminieren und eine reibungslosere, schnellere und weniger komplizierte Einführung durch die Produktionspipeline sicherzustellen.

Durch die zunehmende Verfügbarkeit von Software- und virtuellen Editionen herkömmlicher Web Application Firewall-Dienste können diese Dienste in einer größeren Anzahl von Umgebungen bereitgestellt und höhere Zugriffsebenen in der Bereitstellungspipeline sichergestellt werden. Eine Verschiebung der Sicherheit von Webanwendungen nach links bedeutet auch die Möglichkeit, Schwachstellenscans auf den Sicherheitsdienst von Webanwendungen anzuwenden, während dieser die getestete Anwendung schützt. Dadurch erhalten Sicherheitsbetrieb und -entwicklung ein besseres Verständnis für die Interaktion zwischen beiden und die Möglichkeit, Richtlinien zu optimieren, um ein angemessenes (erwartetes und gewünschtes) Verhalten sicherzustellen. Richtlinien, insbesondere solche, die in Vorlagenform gekapselt sein könnten, lassen sich problemlos zwischen Umgebungen verschieben und wie Code behandeln – in Repositories gespeichert und für die zukünftige Verwendung versioniert.

Die Verfügbarkeit von APIs und Vorlagen sowie die Virtualisierung traditionell netzwerkgehosteter anwendungsaffiner Dienste ermöglicht es Unternehmen, die Sicherheit nach links zu verschieben und echte Fortschritte bei der Optimierung des Produktionspipeline-Prozesses zu erzielen.