Integration in Produktion

Selbst eine Anwendung ohne ein einziges Sicherheitsproblem lässt sich nicht sicher betreiben, wenn die Produktionsumgebung nicht hinreichend abgesichert ist. Mangelhafte Abstimmung zwischen Entwicklung und Betrieb verursacht häufig schwerwiegende Schwachstellen für die Applikation. Schwerpunkte in der sicheren Produktion sind die Härtung von Systemen, hinreichendes Patch-Management (siehe auch "Trau keinem Patch-System") sowie sichere Administration.

Noch mehr Abstimmung ist beim Einsatz einer Web Application Firewall (WAF) notwendig, da sich damit auch Schwachstellen in der Applikation absichern lassen. Eine WAF mit voreingestelltem Regelwerk erhöht zwar das Sicherheitsniveau, reicht als Schutz vor gezielten Angriffen (auf eine unsichere Anwendung) jedoch nicht aus. Das erfordert spezielle, auf die jeweilige Applikation zugeschnittene Policies. Idealerweise bildet die WAF eine zweite Schutzschicht - vor einer sicher entwickelten Anwendung.

Für unseren Webshop gilt es darüber hinaus, sichere Verschlüsselungsalgorithmen für SSL/TLS zu konfigurieren und unsichere Protokolle wie SSLv2 zu deaktivieren. Der Application-Server wird in der demilitarisierten Zone (DMZ) betrieben, und vom Internet her ist nur der Port für SSL (443) freigegeben. Die Administration der Anwendung, des Application-Servers und des Betriebssystems ist nur über ein spezielles Administrationsnetz im internen LAN möglich.