LÖSUNGSÜBERSICHT
Sicherheitsautomatisierung für DevOps mit F5 Advanced WAF
Anwendungen stehen im Mittelpunkt der digitalen Strategie moderner Unternehmen. Laut einer Studie von F5 Labs verwalten Unternehmen durchschnittlich 983 Anwendungen, die sich oft über mehrere Clouds und Rechenzentren erstrecken. Moderne Anwendungen werden in der Regel mit verteilten Architekturen entworfen und mit agilen Entwicklungspraktiken bis hin zur Komponentenebene erstellt. Dieses Framework für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) ermöglicht es DevOps, den Software-Lebenszyklus sowohl schnell als auch effizient zu verwalten. Mit der Markteinführungszeit als primären KPI (Key Performance Indicator) hat DevOps moderne Workflows und Automatisierung eingeführt. Die Sicherheit wird jedoch oft aus dem CI/CD-Sicherheits-Workflow ausgeklammert.
Das Fehlen von Kontrollen der Anwendungssicherheit im DevOps-Workflow bedeutet, dass sie nicht zusammen mit dem Anwendungscode getestet werden. Infolgedessen werden Sicherheitsmängel in den Anwendungen möglicherweise erst bei den Betriebstests gegen Ende des Entwicklungszyklus entdeckt, wo die Behebung von Mängeln viel kostspieliger ist. Die Folgen können erhebliche Verzögerungen bei der Markteinführung, höhere Kosten für die Behebung oder unzureichende Sicherheitskontrollen sein.
Die Einführung von Sicherheitstests zu einem früheren Zeitpunkt im CI/CD-Prozess ist die effizienteste Lösung, um die Lücke zwischen den Anwendungs- und Sicherheitsteams zu schließen. Die Herausforderung besteht darin, dies in großem Umfang und mit hoher Effizienz zu tun, was sowohl kulturelle als auch technologische Veränderungen erfordert, die operative Sicherheitstests als Teil der Anwendungsentwicklungsphasen betonen.
Mit der F5 Advanced Web Application Firewall lassen sich Sicherheitstests für betriebliche Anwendungen frühzeitig in die Entwicklungspipeline integrieren. Dies ermöglicht umfassende Tests sowohl der funktionalen Spezifikationen als auch der Sicherheitsrichtlinien in einem frühen Stadium der Pipeline. Das DevOps-Team kann nun Sicherheitsmängel entdecken, entweder in der Sicherheitsrichtlinie oder in der Anwendung selbst, während die Anwendung noch entwickelt wird. Wenn das Team Fehler findet, kann es diese effizienter und zu deutlich geringeren Kosten beheben.
Wesentliche Merkmale
- Die deklarative API-basierte Bereitstellung und Konfiguration ermöglicht die Integration mit DevOps-Tools und -Workflows
- Ermöglicht SecOps die Verwaltung und Bereitstellung von Sicherheit als „Code“ mit leicht lesbaren JSON-Dateien für DevOps
- Die Aufnahme von OpenAPI-Dateien unterstützt die automatische Konfiguration der API-Sicherheit
- Die Integration mit Webhooks (z. B. Slack, Teams) ermöglicht eine verbesserte DevOps-Zusammenarbeit und erweiterte Automatisierungsfunktionen
- Gemeinsame Nutzung der Basissicherheit für alle Anwendungen und benutzerdefinierte Kontrollen pro Anwendung über modulare Richtlinien
- Möglichkeit der gemeinsamen Nutzung von Richtlinienobjekten durch Verweis auf gemeinsam genutzte Dateien
Wichtige Vorteile
- Ermöglicht eine schnellere Markteinführung von Anwendungen bei geringeren Kosten und höherer Sicherheitseffizienz
- Verschiebt Sicherheitstests in der Anwendungsentwicklungspipeline nach „links“, um kosteneffektivere Abhilfemaßnahmen zu ermöglichen
- Überbrückt die operative Lücke zwischen SecOps und DevOps
Sicherheit als Code
Die Integration der Anwendungssicherheit in die Entwicklungspipeline wird durch die Verwendung deklarativer APIs erleichtert. Diese API-Befehle können als Teil der automatisierten Entwicklungspipeline zur Bereitstellung und Konfiguration der Advanced WAF verwendet werden. Die Automatisierung kann über die Tools erfolgen, die DevOps-Teams bereits verwenden, wie z. B. GitLab, Jenkins und Bitbucket.
WAF-Sicherheitsrichtlinien können mit denselben Automatisierungsprozessen auch auf bestehende WAF-Instanzen angewendet werden. Sicherheitsrichtlinien können in Form einer einfachen JSON-Datei (JavaScript Object Notation) definiert werden. Die Datei kann einen Zeiger auf den Namen und den Speicherort der WAF-Richtlinie enthalten, normalerweise in einem Repository wie GitHub.
Mithilfe dieses Frameworks kann das SecOps-Team Sicherheitsrichtlinien erstellen, veröffentlichen und pflegen, die von den Entwicklungsteams problemlos genutzt werden können. Die Richtlinien können je nach Anwendung variieren. So kann das SecOps-Team beispielsweise eine Basisrichtlinie für Anwendungen erstellen, die vor den OWASP Top 10 schützt, die die wichtigsten Sicherheitsrisiken für Webanwendungen definieren. Andere Richtlinien können für Anwendungen veröffentlicht werden, die zusätzliche Kontrollen erfordern, z. B. Anwendungen, die sensible Daten verarbeiten oder finanzielle Transaktionen durchführen. Das Entwicklungsteam konsumiert diese Richtlinien genauso wie andere Teile des Anwendungscodes.
Abbildung 1: Unternehmen können deklarative APIs verwenden, um die Anwendungssicherheit in die automatisierte Entwicklungspipeline zur Bereitstellung und Konfiguration von Advanced WAF zu integrieren.
Änderungen am Sicherheits-„Code“ werden von den Automatisierungswerkzeugen der CI/CD-Pipeline automatisch integriert, angewendet, getestet und erstellt. Mit diesem Ansatz werden die Sicherheitskontrollen in der CI/CD-Pipeline weiter nach links (früher) verlagert, so dass die Sicherheit während des gesamten Prozesses in der gemeinsamen Verantwortung liegt. Wie bei jedem anderen Teil der Anwendung gewährleistet dies eine konsistente Sicherheitsimplementierung in allen Phasen des Entwicklungslebenszyklus: Entwicklung, Test, Qualitätssicherung und Produktion.
Funktionsübergreifende DevSecOps-Teams können zusätzliche ChatOps-Integrationsfunktionen (z. B. Slack) nutzen, um ihre Effizienz zu steigern und sicherzustellen, dass sie immer auf demselben Stand sind. ChatOps kann jedoch mehr als nur Messaging und Alarme. Wenn ChatOps in die Pipeline-Tools integriert ist, kann es DevOps-Fortschritte in Echtzeit liefern und sogar Pipeline-Aktionen wie Aktualisierungen der Advanced WAF-Richtlinie initiieren.
Schlussfolgerung
Weitere Informationen über Advanced WAF:
- Besuchen Sie F5 Advanced WAF
- Besuchen Sie die Webseite von F5 Web App and API Protection
- Erfahren Sie mehr über F5 Automatisierungs- und Orchestrierungs-Toolchain
- Treten Sie der technischen F5 Community bei
Nächste Schritte
Testversion starten
Sehen Sie in einer kostenlosen Testversion, wie Advanced WAF funktioniert.
Kontaktieren Sie uns
Finden Sie heraus, wie die Produkte und Lösungen von F5 Ihnen helfen können, Ihre Ziele zu erreichen.