Wie bekomme ich das «Sec» in mein DevOps?

Wie kann man das Thema Security in DevOps-Prozesse integrieren? Im dieser Aufzeichnung erfahren Sie, wie sich das mit zentralen Security Gateways und verteilten Microgateways erreichen lässt.

Sprecher

Stefan Dietiker

Security Consultant Airlock, Ergon Informatik AG

Kurzvita

Stefan Dietiker ist seit 10 Jahren im Professional Services, nimmt Projekte war, arbeitet bei der Quality Assurance und im Requirements Engineering der Web Application Firewall mit. Er setzte Projekte im Bereich Cloud und Containerlösungen um. Vorher war er als Engineer und technischer Projektleiter in der Telekomunikation und für Industrielösungen tätig. Er ist Dipl. Ing. FH und hat ein Zertifikat als CISSP (Certified Information Systems Security Professional) und AWS Certified Solution Architect Associate.

Daniel Estermann

Product Marketing Manager, Ergon Informatik AG

Kurzvita

Daniel Estermann beschäftigt sich seit 15 Jahren mit Applikationssicherheit. Als ehemaliger Software Engineer weiss er, wie schwierig es ist, sichere Applikationen zu schreiben. Als technischer Berater und Produktmanager hat er den Wandel weg von der Perimeter Sicherheit hin zu Zero Trust selbst miterlebt. Im Produktmarketing ist Herr Estermann auch heute noch Brückenbauer zwischen potenziellen Kunden, deren Bedürfnissen und dem Produkt Airlock.

Martin Seiler

Heise Business Services

Kurzvita

Martin Seiler befasste sich als IT-Redakteur bei der Computerwoche viele Jahre lang mit Themen wie Netzwerke, Telekommunikation oder Security. 2006 wechselte er in den Eventbereich von IDG, für den er Fachveranstaltungen unterschiedlichster Art wie Seminare, Konferenzen, Roadshows und Webcasts entwickelte, organisierte und moderierte. Seit 2010 arbeitet Martin Seiler für Heise Business Services.

Mit dem Aufkommen von Microservice-Architekturen und DevOps Prozessen werden große zentrale Security Gateway Installationen zunehmend in Frage gestellt. Die notwendige Koordination zwischen Anwendungsverantwortlichen, Administratoren, Entwicklern und dem Security Team führt zu Effizienzverlusten und Frustration.

Besser wäre es, wenn Security-Aufgaben nahe bei den zu schützenden Services mittels sogenannter Microgateways erledigt würden. DevOps-Teams könnten die Verantwortung für die Sicherheit ihrer Services von der ersten Minute an bis in die Produktion übernehmen (Shift Left).

Im dieser Webcast-Aufzeichnung beleuchten Stefan Dietiker und Daniel Estermann von Airlock, einer Security Innovation der Ergon Informatik AG, technische und organisatorische Herausforderungen rund um den Einsatz von Microgateways. Zudem wird in einer Demo gezeigt, wie Microgateways konkret genutzt werden können, um existierende Services zu schützen.

Dabei werden die folgenden Punkte beleuchtet:

• Wie kann ich sicherstellen, dass die Anwendungssicherheit bereits früh adressiert wird und nicht erst kurz vor der Inbetriebnahme?
• Wie kann ich mit Microgateways den Schutz von APIs und Webanwendungen in den DevOps-Lifecycle integrieren?
• Was sind die Unterschiede zwischen Community und Premium Edition?
• Live Demo der Inbetriebnahme, der Anbindung eines Back-Ends mit OpenAPI Spezifikation und dem Anpassen von Sicherheitsregeln wie:
  - Blacklisting
  - Access Control (JWT/JWKS)
  - Deny Rule Basic + OpenAPI
  - Container mit einfachem Back-end nutzen
  - Schema mit DSL Completion IDE (3.0)

Moderator der Sendung ist Martin Seiler von Heise Business Services.