Cloud und SaaS stellen Anwendungsentwickler in punkto Sicherheit vor neue Herausforderungen
28.02.2012
IT, NewMedia & Software
Die steigende Popularität von gehosteten Cloud- und Software-as-a-Service- (SaaS) Diensten stellt Entwickler bei der Absicherung kritischer Anwendungen vor neue Herausforderungen. "Die Kontrolle über standortferne auf mandantenfähigen Architekturen basierenden Infrastrukturen zu behalten gehört zweifelsohne zu den schwierigsten Aufgaben denen sich Entwickler stellen müssen", erläutert Dr. Johannes Ullrich, Forschungsdekan und Fakultätsmitglied des SANS Technology Instituts. "Jede Entwicklungsumgebung unterliegt Restriktionen hinsichtlich der Art und Weise, wie Daten gespeichert und von den Anwendungen verarbeitet werden. Daher müssen sich Entwickler umfassend mit der jeweiligen Plattform vertraut machen, bevor sie sich einem Projekt verpflichten."
Sichere Cloud-Umgebungen
Dr. Ullrich verweist auf neue Branchenstandards, die von der gemeinnützigen Cloud Security Alliance (CSA) unter anderem in White Papers und Leitfäden veröffentlicht sind. Diese beschreiben praxiserprobte Vorgehensweise, sogenannte "Best Practises", für die Absicherung von Cloud-Umgebungen und stellen entsprechende Service vor. Darüber hinaus greifen die Handlungsempfehlungen Gesetzes-, Technologie- sowie Management-Aspekte einschließlich Möglichkeiten und Risiken auf. Aus Sicht von Ullrich leisten die Dokumente Entwicklern eine gute Hilfestellung bei der Auswahl der für ihre Zwecke passenden Basisplattform . "Ein weiterer Schwerpunkt sollte darauf liegen sich eingehend mit neuen Programmierungstechniken auseinanderzusetzen, die häufig bessere Sicherheitsmodelle für die Entwicklungen in einer Cloud-zentrierten Welt bieten."
Tokenization
Ein nützliches von Dr. Ullrich hervorgehobenes Verfahren ist zudem die Tokenization. Dabei werden sensible Daten in einen als Token bezeichneten verschlüsselten Wert ersetzt, so dass der Klartext nicht mehr sichtbar ist. "Die Tokenization bietet sich immer dann an, wenn der Schutz vertraulicher Daten wie beispielsweise Kreditkarten-, Konto-, Mitglieds-, Kunden- oder Sozialversicherungsnummern an erster Stelle steht. In Kombination mit dem Einsatz von Randomisierungstechniken lässt sich die Sicherheit von Anwendungen verstärken, die auf gemeinsam genutzte Datenquellen zugreifen. Da diese nicht eindeutig der Kontrolle des Entwicklers unterliegen, können sie nicht verschlüsselt werden, erklärt Ullrich.
SANS Germany 2012 in Stuttgart: Schulungsangebot für Entwickler
Im März leitet Dr. Ullrich in Stuttgart den für Entwickler konzipierten SANS-Kurs DEV522: "Defending Web Applications Security Essentials". Dieser wird erstmals in der EMEA-Region angeboten und richtet sich an alle, die mit der Implementierung, der Verwaltung oder dem Schutz von Webanwendungen betraut sind.
Obwohl der Kurs verschiedene Elemente aufgreift, die neuen Softwareentwicklungen im Cloud- und SaaS-Umfeld in Verbindung stehen, weist Ullrich darauf hin, dass SQL-Injection-Angriffe nach wie vor das am meisten verbreitete Risiko darstellen. "Viele Entwickler, die ihre Kenntnisse vor einem Jahrzehnt erworben haben, sind sich immer noch nicht darüber im Klaren, wie man sich hiervor schützen kann", erklärt er. "Der Kurs wurde entwickelt, um Entwicklern bei der Erstellung und dem Schutz von Anwendungen Hilfestellung zu bieten. Dabei wird erläutert, wie sich den von der offenen Community Open Web Application Security Project (OWASP) zusammengestellten zehn häufigsten Sicherheitsrisiken als auch den mit der Verlagerung von Software in die Cloud einhergehenden Bedrohungen begegnen lässt.
Der Kurs ist fast ausgebucht. Trotz allem empfiehlt Ullrich Senior-Entwicklern, die am Anfang von Projekten stehen, in die Cloud- sowie SaaS-Anbieter involviert sind und damit einhergehend der sichere gemeinsame Zugriff auf Daten eine entscheidende Rolle spielt, eine Teilnahme in Erwägung zu ziehen. "Durch die Verlagerung von lokalen IT-Landschaften in das Web und letztlich die Cloud stehen Entwickler in den kommenden Jahren einschneidenden Veränderungen gegenüber. Schulungen rund um das Thema Anwendungssicherheit müssen damit Schritt halten."
Die Schulungskonferenz SANS Germany 2012 findet vom 5. bis zum 10. März 2012 in Stuttgart, im Hotel Arotel Camino statt. Weitere Informationen sind im Internet unter http://www.sans.org/germany-2012 abrufbar.
Hintergrundinformation Dr. Johannes Ullrich
Dr. Ullrich blickt auf über zwei Jahrzehnte Erfahrung auf dem Gebiet der IT-Sicherheit zurück. Im November des Jahres 2000 rief er das Dshield.org-Projekt ins Leben, das später im Internet Storm Center aufging. Seine Arbeit für das Internet Storm Center erfuhr weite Anerkennung: 2004 erklärte das US-amerikanische Magazin Network World ihn zu einer der 50 mächtigsten Persönlichkeiten in der Netzwerkindustrie, 2005 zählte ihn das Secure Computing Magazine zu einem der fünf einflussreichsten Vordenkern in der IT-Security-Branche.
SANS-Institut Cloud-Infrastrukturen SaaS Security IT-Sicherheit Best Practises Tokenization SANS Germany 2012 Stuttgart Schulungskonferenz
http://www.sans.org
SANS-Institut
8120 Woodmont Avenue, Suite 205 20814 Bethesda, Maryland
Pressekontakt
http://www.billo-pr.com
billo pr GmbH
Taunusstraße 43 65183 Wiesbaden
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Marie-Christine Billo
08.05.2012 | Marie-Christine Billo
SANS Secure Europe 2012: Neue Schulung zum Thema Auditing
SANS Secure Europe 2012: Neue Schulung zum Thema Auditing
03.04.2012 | Marie-Christine Billo
SANS Secure Europe 2012 mit erweitertem Schulungsangebot: Neue Kurse zu Mobilfunkforensik und Cloud-Sicherheit
SANS Secure Europe 2012 mit erweitertem Schulungsangebot: Neue Kurse zu Mobilfunkforensik und Cloud-Sicherheit
31.01.2012 | Marie-Christine Billo
SANS-Institut veranstaltet 2012 erstmals wieder Schulungskonferenz in Deutschland
SANS-Institut veranstaltet 2012 erstmals wieder Schulungskonferenz in Deutschland
09.11.2011 | Marie-Christine Billo
IBM und Nirvanix gehen strategische Partnerschaft ein
IBM und Nirvanix gehen strategische Partnerschaft ein
29.09.2011 | Marie-Christine Billo
Yotta -Your Personal Cloud
Yotta -Your Personal Cloud
Weitere Artikel in dieser Kategorie
22.11.2024 | Kubernauts GmbH
OpenKubes Kubernetes Service Platform - Robuste IT-Infrastruktur für KI, ML, IoT und Robotik
OpenKubes Kubernetes Service Platform - Robuste IT-Infrastruktur für KI, ML, IoT und Robotik
22.11.2024 | NEXTMINDS
ZERTURIO Checkliste Datenschutz nach DSGVO verfügbar
ZERTURIO Checkliste Datenschutz nach DSGVO verfügbar
22.11.2024 | MovPilot
Bis 35%: MovPilot Amazon Prime Video Downloader Coupon
Bis 35%: MovPilot Amazon Prime Video Downloader Coupon
21.11.2024 | FastNeuron Inc
BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025
BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025
21.11.2024 | IT-Systemhaus Ruhrgebiet GmbH
Second Level Support - Die Helden der IT-Hotline
Second Level Support - Die Helden der IT-Hotline