Dynatrace, Anbieter einer gleichnamigen Software für das Application Performance Monitoring (APM), hat sein Portfolio um ein Modul für Cloud Application Security erweitert. Es bietet als Hauptfeature eine Runtime Application Self-Protection (RASP) für die Produktion und Vorproduktion von Geschäftsanwendungen in der Cloud.

Der Linzer Dynatrace-Gründer und CTO Bernd Greifeneder versteht im Gespräch mit heise Developer unter der Software eine Plattform, die es ermöglichen soll, Software vollautomatisiert und selbstheilend zu betreiben. Mit der Neuerung automatisiert Dynatrace nun auch den "Selbstschutz" von Anwendungen mittels KI und verteiltem Tracing. Das geschieht vor dem Hintergrund, dass Anwendungen in einer Cloud-Umgebung mit ihren vielen Instanzen und Kausalverkettungen eine Komplexität erreichen, die für viele Menschen kaum mehr zu bewältigen ist. Hier will die Plattform mit ihren Diensten ansetzen. Runtime Security ist seitens Dynatrace ein erster Teilschritt im neu betretenen Bereich der Cloud Application Security.

Fehlermeldungen priorisieren mit KI

Die Software-Agenten der Plattform registrieren den Zugriff vom Frontend bis zur Code-Ebene, spüren Schwachstellen auf, während die Anwendung läuft, und liefern Entwicklern flankierend eine Risiken- und Impact-Einschätzung zu jedem Fund. In der Praxis fallen täglich oft sehr viele Fehlermeldungen an, die es zu priorisieren gelte: Ein Großteil sei jedoch von geringer Relevanz, Fehlalarme (False Positives) sind auszusondern, manuell sei das nicht mehr vernünftig zu schaffen. Kritische Schwachstellen gilt es daher, rasch zu erkennen, nach Priorität zu filtern und zu beheben.

Dynatrace kooperiert im Zuge der Neuerung mit dem Security-Experten Snyk, dessen Datenbank bekannte Schwachstellen dokumentiert und beim Beheben gefundener Probleme dienlich sein kann.

Kausalzusammenhänge als gerichetete Graphen

Technische Grundlage des Moduls für Anwendungssicherheit in der Cloud ist eine Software mit künstlicher Intelligenz (KI), die nach deterministischem (statt korrelativem) Prinzip arbeitet. Deterministisch heißt, dass im Modell der nächste Zustand vollständig durch den aktuellen Zustand oder die Aktionen, die ein Agent auswählt, bestimmt ist.

Die Software lernt im laufenden Betrieb und vollzieht ein Tracing, die Kausalzusammenhänge lassen sich als gerichtete Graphen veranschaulichen. Entwickler können daran ablesen, welche Aufgaben wirklich aufgerufen wurden, und sie sehen im Topologiegraphen (der bei Dynatrace Smartscape heißt), ob von einer potentiellen Schwachstelle kritische Daten betroffen sind. Das Scannen des Systems läuft kontinuierlich ab und soll den jeweils gegenwärtigen Stand dynamisch abbilden. Der Topologiegraph ist ein multidimensionales Modell, in das Entwickler pro Instanz vertikal hineinzoomen können. Der Datenfluss ist bis in den Code hinein nachvollziehbar.

Autonome Cloud am Horizont

Beim Wechsel in die Cloud, den viele Unternehmen gerade vollziehen, steigt die Komplexität der Abläufe in einem Maße, das von Menschen nicht mehr bewältigbar ist, erläuterte Greifeneder im Gespräch. Ziel sei die "autonome Cloud", in der sich Anwendungen automatisch, aber eben auch sicher betreiben lassen. Sicherheit sei hier der springende Punkt, und die Cloud-Angebote bearbeiten zunehmend die Sicherheit der Infrastruktur, insbesondere die Public-Cloud-Angebote.

Die Dynatrace-Plattform ist für Kubernetes-Cluster und die DevSecOps-Praxis optimiert – DevSecOps steht für die abteilungsübergreifende stärkere Verzahnung der Abläufe von Entwicklung, Sicherheit und Betrieb.

Made in Austria: deterministische KI-Software

Dynatrace (der Firmenname steht für Dynamic Tracing) ist ein in Österreich verwurzeltes Software-Unternehmen, das weltweit agiert und seinen Geschäftssitz mittlerweile in Boston hat. Die Entwicklungsabteilung mit einem Großteil der Mitarbeiter sitzt in Linz, wo Firmengründer Greifeneder als studierter Informatiker und CTO die technische Entwicklung leitet. Dynatrace stellt seit 15 Jahren Observability-Software bereit, und Greifeneder hat mittlerweile neun Patente in dem Bereich geschrieben, unter anderem die PurePath-Methode für das Tracing. Kernkonzept der KI-Software-Plattform ist eine Agent-Technologie.

Dynatrace lässt sich über APIs in Continuous-Delivery-Pipelines integrieren. In die bestehenden Agents haben die Linzer nun zusätzlich Sicherheits-Fähigkeiten eingebaut. Greifeneders Vision sind NoSOC (das No Security Operation Center) und NoOps, also das Betreiben von Firmen-IT direkt durch die Entwicklungsabteilung selbst, ohne Bedarf an manueller Wartung und Überwachung. Entwickler sollen schlicht Features bauen dürfen, und Security-Themen sollen dabei automatisch abgedeckt sein – Attacken würden bereits kurz hinter dem Eingang ausgefiltert, präzisierte Greifeneder. Die Plattform unterstützt eine Reihe von Programmiersprachen wie Java, .NET, Node.js, Python und Go. Programme in objektorientierten Sprachen wie C/C++ lassen sich zum Beispiel über OpenTracing oder OpenTelemetry einbinden. Bei OpenTelemetry treibt Dynatrace gemeinsam mit Google und Microsoft die Standardisierung voran.

Weiterführende Hinweise

Bestandskunden von Dynatrace können bei entsprechender Lizenzierung das Sicherheitsmodul "per Schalter" aktivieren, es ist bereits in die Plattform integriert. Neukunden und Interessierte können als kostenlose Testversion den OneAgent ausrollen, er stellt die Basisinfrastruktur dar und überwacht die Container. Weitere Features wie das neue Sicherheitsmodul lassen sich dann hinzuschalten. Der erste technische Rollout lässt sich laut Greifeneder in unter einer Stunde bewerkstelligen, die Umstrukturierung der Abläufe in der Firma dauert dann je nach Fall und Umfang des Deployments einige Wochen bis Monate.

Weitere Informationen lassen sich der Pressemeldung von Dynatrace entnehmen.

