SECURITY6. April 2018
DevOps für SAP: Von DevSecOps zu Secure DevOps – der Fahrplan für mehr Sicherheit
Virtual Forge
DevOps ist in der Finanzwirtschaft angekommen. In immer mehr Banken arbeiten Software-Entwicklung (Development) und IT-Betrieb (Operations) Hand in Hand, um schneller und flexibler auf die steigenden Markt- und Kundenanforderungen reagieren zu können. Mit Secure DevOps wird IT-Sicherheit von Anfang an in die agile Programmierumgebung integriert.
von Dr. Markus Schumacher, Geschäftsführer Virtual Forge
Zwei bis drei Releases pro Jahr: Das war einmal der Standard in der Finanzbranche. Digitaler Wandel, neue Technologien und branchenfremde Wettbewerber setzen die Bankinstitute zunehmend unter Druck, in immer kürzeren Zeitabständen hochwertige Anwendungen und Funktionen zu entwickeln, um innovative Geschäftsmodelle, Produkte und Services zu unterstützen. Viele Banken entscheiden sich für das DevOps-Konzept – zumal wenn die Programmierung in vorhandenen SAP-Umgebungen erfolgen soll. So steht mit SAP HANA eine neue Entwicklungsplattform zur Verfügung, die durch die Big-Data-Verarbeitung optimale Voraussetzungen für eine rasche und agile Programmierung neuer Anwendungen bietet und dabei einen hohen Qualitätsanspruch wahrt.Genügt DevSecOps?
Produkt: Virtual Forge Security Suite1.Virtual Forge Code Security: identifiziert automatisch Risiken Code von ABAP- sowie HANA-Anwendungen und integriert sich vollständig in den Entwicklungsprozess.
2. Virtual Forge System Security: Überwacht und steuert die Parametrisierung von SAP-Systemen sowie Schnittstellen und dient zur Analyse von Basisberechtigungen.
3. Virtual Forge Transport Security: ermöglicht erstmals die Prüfung von SAP-Transporten vor dem Import und während der Freigabe in nachgelagerte SAP-Systeme. Dafür gilt DevSecOps derzeit als Mittel der Wahl. Doch greift dieser Sicherheitsansatz zu kurz, da er sich vorrangig auf funktionale Schutzkomponenten konzentriert. So verwendet DevSecOps zum Beispiel Authentifizierungen, Berechtigungen und Verschlüsselung, um Schnittstellen gegen Manipulationen abzuschirmen und zu verhindern, dass Drittkomponenten mögliche Sicherheitslücken verursachen. Dies reicht jedoch nicht aus, um den hohen Risiken im DevOps-Umfeld umfassend zu begegnen. Besser ist es, zusätzlich einen technischen Ansatz zu verfolgen, der Sicherheit in den gesamten DevOps-Lebenszyklus integriert und in jeder Phase spezielle Prüfwerkzeuge nutzt: Secure DevOps. Als Basis sollten Sicherheitsstandards, wie OWASP Top 10, SANS 25, BIZEC App / 11 und BIZEC Tec / 11, dienen, die agil an jeweils mehreren Prüfpunkten getestet werden – angefangen bei der Programmierung über die Konfiguration neuer Anwendungen und Funktionen bis hin zum Transport ins Zielsystem.
Tests in jeder DevOps-Projektphase
Produkt: Virtual Forge Security Suite
1.Virtual Forge Code Security: identifiziert automatisch Risiken Code von ABAP- sowie HANA-Anwendungen und integriert sich vollständig in den Entwicklungsprozess.
2. Virtual Forge System Security: Überwacht und steuert die Parametrisierung von SAP-Systemen sowie Schnittstellen und dient zur Analyse von Basisberechtigungen.
3. Virtual Forge Transport Security: ermöglicht erstmals die Prüfung von SAP-Transporten vor dem Import und während der Freigabe in nachgelagerte SAP-Systeme.
2. Virtual Forge System Security: Überwacht und steuert die Parametrisierung von SAP-Systemen sowie Schnittstellen und dient zur Analyse von Basisberechtigungen.
3. Virtual Forge Transport Security: ermöglicht erstmals die Prüfung von SAP-Transporten vor dem Import und während der Freigabe in nachgelagerte SAP-Systeme.
Für Secure DevOps sind im SAP-Umfeld folgende Testszenarien erforderlich:
1. Code-EntwicklungIdentifizieren und korrigieren Sie Fehler und Schwachstellen im ABAP-Code bereits während der Programmierung! Denn je eher eine SAP-Sicherheitslücke beseitigt wird, desto geringer ist der Folgeaufwand. Dazu können neben den Standard-Prüfwerkzeugen in der SAP-Entwicklungsumgebung auch Open-Source-Tools und Add-ons von Drittanbietern genutzt werden. Allen Tools ist gemeinsam, dass sie vorkonfigurierte Prüfkataloge zur Analyse des ABAP-Quellcodes integrieren. Damit kann jede Prüfung unmittelbar während des Code-Schreibens automatisch erfolgen – ähnlich der interaktiven Rechtschreibprüfung von Microsoft Word, die Text-Dokumente direkt bei der Eingabe auf Fehler untersucht und korrigiert. Mit den automatischen ABAP-Quellcode-Analysen werden manuelle Prüfungen durch die Entwickler überflüssig und die Fehlerquoten minimiert. 2. Testphase
Geben Sie prinzipiell keinen Quellcode frei, ohne ihn im Anschluss an die Programmierung automatisch getestet zu haben! Auch für diese Phase stehen verschiedene Prüfwerkzeuge zur Verfügung, mit denen sich der ABAP-Code direkt in der Entwicklungsumgebung testen lässt. Ob dabei Tools von SAP oder Open Source- und Add-on-Anbietern zum Einsatz kommen, hängt von Ihren individuellen Anforderungen ab. Wichtig ist: Zeigt sich in der Testphase, dass der Quellcode nicht den erforderlichen Qualitätsansprüchen genügt, darf er auf keinen Fall ins nächste Level überführt, sondern muss vorab korrigiert werden. 3. Build-Phase
Weitere Sicherheits- und Qualitätstests sollten Sie für die Build-Phase vorsehen, noch bevor die Eigenentwicklungen ins produktive SAP-System gelangen. In der Build-Phase werden die ABAP-Code-Fragmente zusammen mit den Konfigurationen und Tabellen-Inhalten in ausführbare Einheiten „gepackt“ – daher auch „Pakete“ oder, im SAP-Jargon: „Transporte“ genannt. Wenn das SAP-Transportwesen die einzelnen Objekte ins Produktivsystem einspielt, nimmt es leider keine detaillierten Überprüfungen vor. Da sich dadurch erst nach dem Transport herausstellt, ob sich Anpassungen negativ auswirken, sollten die Objekte bereits in der Build-Phase überprüft werden. Zudem stellt die Integration der Tests in den Change-Prozess sicher, dass die Anpassungen im SAP-Produktivsystem keine kritischen Einstellungen verändern oder unbeabsichtigt Daten überschreiben. 4. Laufzeit-Umgebung / Betrieb
Überprüfen Sie den Systembetrieb zyklisch mit geeigneten Prüfwerkzeugen! Nur so lässt sich herausfinden, ob durch eine Änderung nicht nur das Laufzeit-Verhalten eines Systems, sondern auch das Sicherheitsniveau beeinflusst wurde – etwa dann, wenn eine neue Konfiguration eine Protokollierung deaktiviert. Kommt es im laufenden Betrieb zu einem Sicherheitsvorfall, muss dafür gesorgt sein, dass der System-Administrator sofort einen entsprechenden Alarm erhält.
Autor Dr. Markus Schumacher, Virtual Forge
Dr. Markus Schumacher ist Mitgründer und Geschäftsführer der Virtual Forge GmbH. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und dort auch Leiter des Bereichs “Security and Embedded Devices”.Nahtlose Integration der Prüfwerkzeuge
Bereits in klassischen SAP-Entwicklungsumgebungen sind IT-gestützte Tests für Finanzinstitute unverzichtbar, um Schwachstellen rechtzeitig erkennen und beseitigen zu können. Noch mehr gilt dies für DevOps-Umgebungen, in denen neue Anwendungen und Updates in immer kürzeren Zyklen aufgebaut, getestet und freigegeben werden müssen. Damit aus Sicherheit ein ständiger Begleiter der Anwendungsentwicklung und des IT-Betriebs wird, sollten DevOps-Teams in jeder Phase geeignete Prüfwerkzeuge einsetzen. Wenn diese von verschiedenen Herstellern stammen, müssen sie unbedingt darauf achten, dass die einzelnen Komponenten nahtlos integriert werden können und keine Medienbrüche entstehen. Ansonsten geht im schnellen DevOps-Umfeld leicht der Überblick verloren – mit der fatalen Folge, dass vorhandene Fehler- und Mängellisten übersehen werden können. aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/68801
Schreiben Sie einen Kommentar