book

Aufbau sicherer und zuverlässiger Systeme

Name: Aufbau sicherer und zuverlässiger Systeme
ISBN: 9781098191498

by Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield

September 2024

Intermediate to advanced

558 pages

19h 19m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort von Royal Hansen
Vorwort von Michael Wildpaner
Vorwort
Warum wir dieses Buch geschrieben habenFür wen dieses Buch istEine Anmerkung zur KulturWie man dieses Buch liestIn diesem Buch verwendete KonventionenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
I. Einleitendes Material
1. Der Schnittpunkt von Sicherheit und Verlässlichkeit
Über Passwörter und Power DrillsZuverlässigkeit vs. Sicherheit: Überlegungen zur GestaltungVertraulichkeit, Integrität, VerfügbarkeitVertraulichkeitIntegritätVerfügbarkeitVerlässlichkeit und Sicherheit: GemeinsamkeitenUnsichtbarkeitBewertungEinfachheitEntwicklungResilienzVom Entwurf zur ProduktionSysteme und Logging untersuchenKrisenreaktionErholungFazit
2. Feinde verstehen
Angreifer-MotivationenAngreifer-ProfileHobbyistenSchwachstellenforscherRegierungen und StrafverfolgungsbehördenAktivistenKriminelle SchauspielerAutomatisierung und künstliche IntelligenzInsiderAngreifer-MethodenBedrohungsanalyseCyber Kill Chains™Taktiken, Techniken und VerfahrenÜberlegungen zur RisikobewertungFazit
II. Systeme entwerfen
3. Fallstudie: Sichere Proxies
Sichere Proxys in ProduktionsumgebungenGoogle Tool ProxyFazit
4. Kompromisse bei der Gestaltung
Gestaltungsziele und AnforderungenMerkmal AnforderungenNichtfunktionale AnforderungenMerkmale versus aufkommende EigenschaftenBeispiel: Google Design DokumentAnforderungen ausgleichenBeispiel: ZahlungsabwicklungSpannungen bewältigen und Ziele aufeinander abstimmenBeispiel: Microservices und das Google Web Application FrameworkAngleichung der Anforderungen an NotfalleigentumAnfangsgeschwindigkeit versus anhaltende GeschwindigkeitFazit
5. Design for Least Privilege
Konzepte und TerminologieLeast PrivilegeZero Trust NetworkingZero TouchKlassifizierung des Zugangs nach RisikoBewährte MethodenKleine funktionale APIsBreakglassRechnungsprüfungPrüfen und geringstes PrivilegDiagnose von ZugangsverweigerungenGraceful Failure und Breakglass-MechanismenPraktisches Beispiel: Konfiguration VerteilungPOSIX API über OpenSSHSoftware Update APIBenutzerdefinierter OpenSSH ForceCommandBenutzerdefinierter HTTP-Empfänger (Sidecar)Benutzerdefinierter HTTP-Empfänger (in Bearbeitung)AbwägungenEin Richtlinienrahmen für Authentifizierungs- und AutorisierungsentscheidungenErweiterte Berechtigungskontrollen verwendenInvestition in ein weit verbreitetes AutorisierungssystemPotenzielle Fallstricke vermeidenErweiterte SteuerelementeMehrparteien-Autorisierung (MPA)Drei-Faktoren-Autorisierung (3FA)Geschäftliche RechtfertigungenTemporärer ZugangVertretungenKompromisse und SpannungenErhöhte SicherheitskomplexitätAuswirkungen auf Zusammenarbeit und UnternehmenskulturQualitätsdaten und Systeme, die sich auf die Sicherheit auswirkenAuswirkungen auf die NutzerproduktivitätAuswirkungen auf die Komplexität der EntwicklerFazit

6. Design für Verständlichkeit
Warum ist Verständlichkeit wichtig?SysteminvariantenAnalysieren von InvariantenMentale ModelleVerständliche Systeme entwerfenKomplexität versus VerständlichkeitKomplexität aufschlüsselnZentralisierte Verantwortung für Sicherheits- und ZuverlässigkeitsanforderungenSystemarchitekturVerständliche SchnittstellenspezifikationenNachvollziehbare Identitäten, Authentifizierung und ZugriffskontrolleGrenzen der SicherheitSoftware DesignAnwendungs-Frameworks für dienstübergreifende Anforderungen nutzenKomplexe Datenflüsse verstehenBerücksichtigung der API-NutzbarkeitFazit
7. Design für eine sich verändernde Landschaft
Arten von SicherheitsänderungenGestalte deine VeränderungArchitekturentscheidungen für leichtere ÄnderungenAbhängigkeiten auf dem neuesten Stand halten und häufig neu erstellenHäufige Freigabe durch automatisierte TestsBehälter verwendenMicroservices verwendenUnterschiedliche Veränderungen: Unterschiedliche Geschwindigkeiten, unterschiedliche ZeitpläneKurzfristige Änderung: Zero-Day-SchwachstelleMittelfristige Veränderung: Verbesserung der SicherheitspositionLangfristige Veränderung: AuslandsnachfrageKomplikationen: Wenn sich Pläne ändernBeispiel: Wachsender Umfang - HeartbleedFazit
8. Design für Resilienz
Gestaltungsprinzipien für ResilienzDefense in DepthDas trojanische PferdGoogle App Engine AnalyseKontrolle der DegradierungKosten von Misserfolgen differenzierenEinsatz von ReaktionsmechanismenVerantwortungsvoll automatisierenKontrolle des ExplosionsradiusRollentrennungStandorttrennungZeitliche TrennungAusfallsdomänen und RedundanzenVersagensbereicheBauteil-TypenRedundanzen kontrollierenKontinuierliche ValidierungSchwerpunktbereiche der ValidierungValidierung in der PraxisPraktische Ratschläge: Wo man anfängtFazit
9. Design für Erholung
Wovon erholen wir uns?Zufällige FehlerVersehentliche FehlerSoftware-FehlerBöswillige HandlungenGestaltungsprinzipien für die ErholungDesign, um so schnell wie möglich zu gehen (von der Politik bewacht)Begrenze deine Abhängigkeit von externen ZeitvorstellungenRollbacks sind ein Kompromiss zwischen Sicherheit und ZuverlässigkeitVerwenden Sie einen expliziten WiderrufsmechanismusKenne deinen Zielzustand, bis hin zu den BytesDesign for Testing und kontinuierliche ValidierungNotfall-ZugangZugangskontrollenKommunikationResponder-GewohnheitenUnerwartete VorteileFazit
10. Entschärfung von Denial-of-Service-Angriffen
Strategien für Angriff und VerteidigungStrategie des AngreifersDie Strategie des VerteidigersFür die Verteidigung entwerfenVerteidigungsfähige ArchitekturVertretbare DiensteAngriffe entschärfenÜberwachung und AlarmierungAnmutige DegradierungEin DoS-AbwehrsystemStrategische AntwortUmgang mit selbstverschuldeten AngriffenNutzerverhaltenWiederholungsverhalten des KundenFazit
III. Systeme implementieren
11. Fallstudie: Entwurf, Implementierung und Wartung einer öffentlich vertrauenswürdigen CA
Hintergrund zu öffentlich vertrauenswürdigen Zertifizierungsstellen (Publicly Trusted Certificate Authorities)Warum brauchten wir eine öffentlich vertrauenswürdige CA?Die Entscheidung Bauen oder KaufenÜberlegungen zur Gestaltung, Umsetzung und WartungWahl der ProgrammierspracheKomplexität versus VerständlichkeitSicherung von Komponenten von Drittanbietern und Open SourceTestenAusfallsicherheit für das CA-SchlüsselmaterialDatenvalidierungFazit
12. Code schreiben
Rahmenwerke zur Durchsetzung von Sicherheit und VerlässlichkeitVorteile der Verwendung von FrameworksBeispiel: Framework für RPC-BackendsVerbreitete SicherheitsschwachstellenSQL Injection Schwachstellen: TrustedSqlStringVerhinderung von XSS: SafeHtmlLektionen für die Evaluierung und den Aufbau von RahmenwerkenEinfache, sichere und verlässliche Bibliotheken für gängige AufgabenEinführungsstrategieEinfachheit führt zu sicherem und zuverlässigem CodeVermeiden Sie mehrstufige VerschachtelungenBeseitige YAGNI-GerücheTechnische Schulden zurückzahlenRefactoringSicherheit und Verlässlichkeit als StandardWähle die richtigen WerkzeugeStarke Typen verwendenDeinen Code säubernFazit
13. Prüfcode
EinheitstestEffektive Unit Tests schreibenWann man Unit Tests schreibtWie Unit Testing sich auf den Code auswirktIntegrationstestsEffektive Integrationstests schreibenDynamische ProgrammanalyseFuzz-TestsWie Fuzz Engines funktionierenEffektive Fuzz-Treiber schreibenEin Beispiel für einen FuzzerKontinuierliches FuzzingStatische ProgrammanalyseAutomatisierte Tools für die CodeprüfungIntegration der statischen Analyse in den EntwicklungsworkflowAbstrakte InterpretationFormale MethodenFazit
14. Code bereitstellen
Konzepte und TerminologieBedrohungsmodellBewährte MethodenCodeüberprüfungen erforderlich machenVerlass dich auf AutomatisierungÜberprüfe Artefakte, nicht nur MenschenKonfiguration als Code behandelnAbsicherung gegen das BedrohungsmodellFortgeschrittene MinderungsstrategienBinäre ProvenienzProvenienzbasierte BereitstellungsrichtlinienÜberprüfbare BuildsEngpässe bei der BereitstellungÜberprüfung nach der EntsendungPraktische RatschlägeEinen Schritt nach dem anderen machenUmsetzbare Fehlermeldungen bereitstellenEindeutige Provenienz sicherstellenUnzweideutige Richtlinien erstellenEinsetzen eines Breakglass für den EinsatzAbsicherung gegen das Bedrohungsmodell, neu überdachtFazit
15. Systeme erforschen
Von der Fehlersuche zur UntersuchungBeispiel: Temporäre DateienDebugging-TechnikenWas du tun kannst, wenn du feststeckstKollaboratives Debugging: Ein Weg zu lehrenWie sich Sicherheitsuntersuchungen und Fehlersuche unterscheidenGeeignete und nützliche Logs sammelnEntwirf dein Logging so, dass es unveränderlich istBerücksichtige den DatenschutzBestimmen, welche Sicherheitsprotokolle aufbewahrt werden sollenBudget für HolzeinschlagRobuster, sicherer Debugging-ZugangVerlässlichkeitSicherheitFazit
IV. Wartung der Systeme
16. Katastrophenplanung
Die Definition von "Katastrophe"Dynamische Strategien zur KatastrophenhilfeAnalyse des KatastrophenrisikosAufbau eines Incident Response TeamsIdentifiziere Teammitglieder und RollenErstelle eine Team-ChartaSchweregrad- und Prioritätsmodelle einrichtenDefiniere operative Parameter für die Einbindung des IR-TeamsReaktionspläne entwickelnDetaillierte Playbooks erstellenSicherstellen, dass Zugriffs- und Aktualisierungsmechanismen vorhanden sindSysteme und Menschen vor einem Vorfall vorbereitenSysteme konfigurierenAusbildungAbläufe und VerfahrenPrüfsysteme und ReaktionspläneAutomatisierte Systeme prüfenNicht-intrusive Tabletops durchführenTesten der Reaktion in ProduktionsumgebungenRed Team TestingAntworten auswertenGoogle BeispieleTest mit globaler WirkungDiRT-Übungstest NotfallzugangSchwachstellen in der gesamten BrancheFazit
17. Krisenmanagement
Ist es eine Krise oder nicht?Die Behandlung des VorfallsKompromisse gegen BugsDie Kontrolle über deinen Vorfall übernehmenDer erste Schritt: Keine Panik!Beginn deiner AntwortEinrichtung deines NotfallteamsOperative SicherheitGute OpSec für das Allgemeinwohl eintauschenDer ErmittlungsprozessDie Kontrolle über den Vorfall behaltenParallelisierung des VorfallsÜbergabenMoralKommunikationMissverständnisseAbsicherungTreffenDie richtigen Leute mit dem richtigen Detailgrad auf dem Laufenden haltenAlles zusammenfügenTriageEinen Vorfall meldenKommunikation und betriebliche SicherheitDer Beginn des VorfallsÜbergabeDie Rückgabe des VorfallsVorbereitung von Kommunikation und AbhilfemaßnahmenSchließungFazit
18. Erholung und Nachwehen
RückgewinnungslogistikZeitleiste der ErholungPlanung der ErholungDer Rahmen für die ErholungÜberlegungen zur ErholungChecklisten zur WiederherstellungDie Erholung einleitenAssets isolieren (Quarantäne)Systemerneuerungen und Software-UpgradesDaten-SanitisierungDaten rettenZeugnis- und GeheimnisrotationNach der ErholungPostmortaleBeispieleKompromittierte Cloud-InstanzenGroß angelegter Phishing-AngriffGezielte Angriffe, die eine komplexe Wiederherstellung erfordernFazit
V. Organisation und Kultur
19. Fallstudie: Chrome-Sicherheitsteam
Hintergrund und Entwicklung des TeamsSicherheit ist eine TeamaufgabeHilf den Nutzern, sicher im Internet zu navigierenAuf die Geschwindigkeit kommt es anDesign für Defense in DepthTransparent sein und die Gemeinschaft einbeziehenFazit
20. Rollen und Verantwortlichkeiten verstehen
Wer ist für die Sicherheit und Zuverlässigkeit verantwortlich?Die Rollen der FachkräfteVerstehen von SicherheitskompetenzZertifizierungen und AkademienIntegration der Sicherheit in die OrganisationEinbindung von Sicherheitsspezialisten und SicherheitsteamsBeispiel: Einbettung der Sicherheit bei GoogleBesondere Teams: Blaue und Rote TeamsExterne ForscherInnenFazit
21. Aufbau einer Kultur der Sicherheit und Verlässlichkeit
Definition einer gesunden Kultur der Sicherheit und ZuverlässigkeitKultur der Sicherheit und Verlässlichkeit als StandardKultur der ÜberprüfungKultur des BewusstseinsKultur des JaKultur des UnausweichlichenKultur der NachhaltigkeitKulturveränderung durch gute PraxisProjektziele und Teilnehmeranreize aufeinander abstimmenReduziere die Angst mit Mechanismen zur RisikoreduzierungSicherheitsnetze zur Norm machenProduktivität und Benutzerfreundlichkeit erhöhenÜberkommunizieren und transparent seinEmpathie aufbauenÜberzeugende FührungDen Entscheidungsfindungsprozess verstehenEin Plädoyer für den Wandel haltenWähle deine SchlachtenEskalationen und ProblemlösungFazit
Fazit
A. Eine Matrix zur Bewertung von Katastrophenrisiken
Index

Content preview from Aufbau sicherer und zuverlässiger Systeme

Vorwort von Michael Wildpaner

Im Kern geht es sowohl beim Site Reliability Engineering als auch beim Security Engineering darum, ein System benutzbar zu halten. Probleme wie fehlerhafte Releases, Kapazitätsengpässe und Fehlkonfigurationen können ein System (zumindest vorübergehend) unbrauchbar machen. Auch Sicherheits- oder Datenschutzvorfälle, die das Vertrauen der Nutzer/innen erschüttern, untergraben den Nutzen eines Systems. Daher steht die Systemsicherheit bei SREs ganz oben auf der Tagesordnung.

Auf der Entwurfsebene ist die Sicherheit eine sehr dynamische Eigenschaft verteilter Systeme geworden. Von passwortlosen Konten auf frühen Unix-basierten Telefonanlagen (niemand hatte ein Modem, um sich einzuwählen, so dachte man zumindest), statischen Benutzername/Passwort-Kombinationen und statischen Firewall-Regeln haben wir uns weit entfernt. Heutzutage verwenden wir stattdessen zeitlich begrenzte Zugriffstoken und eine hochdimensionale Risikobewertung bei Millionen von Anfragen pro Sekunde. Die granulare Verschlüsselung von Daten in der Luft und im Ruhezustand in Verbindung mit einer häufigen Schlüsselrotation macht die Schlüsselverwaltung zu einer zusätzlichen Abhängigkeit für jedes Netzwerk-, Verarbeitungs- oder Speichersystem, das mit sensiblen Daten arbeitet. Die Entwicklung und der Betrieb dieser Sicherheitssoftwaresysteme für die Infrastruktur erfordert eine enge Zusammenarbeit zwischen den ursprünglichen Systemdesignern, Sicherheitsingenieuren und SREs.

Die Sicherheit ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098191498

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Aufbau sicherer und zuverlässiger Systeme

by Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield

Vorwort von Michael Wildpaner

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.