© best_vector/Shutterstock.com
Wie gut gemeinte Security für Cloud-Entwicklung zum Risikofaktor wird

Kolumne: Stropek as a Service


Workshops über Entwicklungstechnologien und Tools wie .NET Core, Angular, TypeScript und Co. gehören zu meinem Job. Es kommt oft vor, dass ich solche Trainingsevents vor Ort bei Kunden mache und es sich dabei um relativ große Firmen handelt. Sicherheit wird in solchen Enterprise-Umgebungen natürlich groß geschrieben. Auf der technischen Seite schützen Firewalls und Proxies. Organisatorisch begrenzen diverse Verträge und Policies den Spielraum der Entwicklungsteams. Scheint alles sinnvoll und durchdacht, hat allerdings einen Haken: Vor lauter Cloud-Panik verschlafen viele größere Firmen die Tatsache, dass ohne Cloud heute kaum mehr Software entwickelt werden kann, die auf dem aktuellen Stand der Technik ist. Die Folge ist, dass nicht selten gut gemeinte Sicherheitsmaßnahmen zum Securityalbtraum werden.

Proxies: Zusätzliche Sicherheit oder natürlicher Feind der Cloud-Entwicklung?

Das erste konkrete Beispiel, über das ich berichten möchte, sind Proxies. Wenn ich ein Training über Web­entwicklung in größeren Firmen mache, rechne ich mittlerweile schon fix mit einem nennenswerten Zeitbudget, das für Netzwerkproblembehebung draufgeht. Der Grund sind so gut wie immer Proxies.

Will man heute moderne Webentwicklungstools wie .NET Core, Node.js, Angular oder Visual Studio Code nutzen, kommt man ohne Cloud-Dienste wie NPM, NuGet und GitHub nicht weit. Das Dumme ist nur, dass die Netzwerk- und Sicherheitsteams in Großfirmen die Netzwerke nicht nur nach Kräften vor eindringenden Bösewichten schützen, sondern auch Verbindungen nach außen streng kontrollieren. Die Folge sind oft Proxies mit Authentifizierung.

NPM und Co. brauchen die Proxyeinstellungen, damit sie ins Internet kommen. Nichts leichter als das: npm config set proxy, und schon klappt es. Es ist nur leider so, dass die Proxyeinstellungen inklusive eingebettetem Benutzernamen und Passwort in einer Textdatei auf der lokalen Festplatte landen. Das in Verbindung mit einer unverschlüsselten Festplatte, und schon ist aus der Sicherheitsmaßnahme Proxy eine große Sicherheitslücke geworden. Dazu kommt, dass man ohne Administratorrechte durch Kommandos wie npm config get proxy zu den Proxyeinstellungen inklusive Passwort kommt (Abb. 1). Treten vielleicht auch noch durch Proxy ausgelöste Zertifikatsprobleme auf? Kein Problem, drehen wir einfach TLS/SSL ab und verwenden HTTP statt HTTPS beim Zugriff auf NPM, dann klappt npm restore endlich.

stropek_kolumne117_1.tif_fmt1.jpgAbb. 1: Proxyeinstellungen mit Passwort landen in einer Konfigurationsdatei

Das ...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang