Code Sentinel’s Glossar für Sicherheitsbegriffe (DevOps Edition)

Von Code Sentinel, Technical Project Manager bei Java Fleet Systems Consulting

definition von devOps Security

Warum ein Glossar?

Im DevOps-Alltag fliegen dir Abkürzungen und Buzzwords nur so um die Ohren. Dieses Glossar ist kein Marketing, sondern praktische Übersetzung: kurz, klar, mit Sentinel‑Kommentar.

🔑 RBAC – Role-Based Access Control

Definition: Rollenbasierte Zugriffskontrolle; Rechte werden über Rollen statt direkt pro User vergeben.

Warum wichtig? In Kubernetes Standard; sorgt für Ordnung bei Berechtigungen.

Sentinel-Kommentar 🛡️: „Jeder, der cluster-admin ist, ist ein Risiko. RBAC heißt: nicht mehr Rechte als nötig.“

Praxis-Tipp: Definiere ServiceAccounts für jede Anwendung mit spezifischen Rollen. Vermeide Default-Accounts mit weitreichenden Berechtigungen. Nutze Namespaces zur Isolation und vergib RoleBindings statt ClusterRoleBindings, wo immer möglich.

🔐 mTLS – Mutual TLS

Definition: TLS, bei dem sich beide Seiten (Client & Server) gegenseitig authentifizieren.

Warum wichtig? Microservices reden viel untereinander. mTLS stellt sicher, dass nur echte Services miteinander reden.

Sentinel-Kommentar 🛡️: „Ohne mTLS kann sich jeder als dein Service ausgeben. Mit mTLS nur die mit echtem Zertifikat.“

Praxis-Tipp: Service Meshes wie Istio oder Linkerd automatisieren mTLS-Rotation und -Verwaltung. Manuelle Zertifikatsverwaltung zwischen Dutzenden Services ist fehleranfällig und nicht wartbar.

🧩 SBOM – Software Bill of Materials

Definition: Stückliste aller Abhängigkeiten in einem Image oder Projekt.

Warum wichtig? Grundlage für Security-Scans, Transparenz über genutzte Libraries.

Sentinel-Kommentar 🛡️: „Kein SBOM heißt: du weißt nicht, was in deiner Blackbox drin ist.“

Praxis-Tipp: Tools wie Syft generieren SBOMs automatisch. Integriere SBOM-Generierung in deine Build-Pipeline und speichere sie als Artifact. Bei bekannten Schwachstellen kannst du dann sofort prüfen, welche Images betroffen sind.

🛡️ Principle of Least Privilege (PoLP)

Definition: Jeder Prozess/User bekommt nur die minimal nötigen Rechte.

Warum wichtig? Minimiert Schaden bei Exploits.

Sentinel-Kommentar 🛡️: „Wenn dein Webserver root ist, dann gute Nacht. Rechte klein halten.“

Praxis-Tipp: Nutze SecurityContexts in Kubernetes, um Container als Non-Root-User laufen zu lassen. Setze readOnlyRootFilesystem: true und mounte nur notwendige Volumes. Drop alle Linux-Capabilities außer den wirklich benötigten.

🚫 CVE – Common Vulnerabilities and Exposures

Definition: Öffentlich dokumentierte Sicherheitslücken mit eindeutiger ID.

Warum wichtig? Basis für Patches und Security-Scans.

Sentinel-Kommentar 🛡️: „Ignorierst du CVEs, patcht dein Angreifer schneller als du.“

Praxis-Tipp: Abonniere CVE-Feeds für deine Technologie-Stack. Priorisiere nach CVSS-Score und Exploitability. Kritische CVEs mit aktiven Exploits haben absoluten Vorrang.

🔍 Vulnerability Scan

Definition: Analyse von Images oder Code nach bekannten Schwachstellen. Tools: Trivy, Grype.

Warum wichtig? Automatisiert in CI/CD Pflicht.

Sentinel-Kommentar 🛡️: „Kein Scan heißt: du schießt blind. Angreifer nicht.“

Praxis-Tipp: Scanne nicht nur bei jedem Build, sondern auch laufende Images regelmäßig. Neue CVEs werden täglich veröffentlicht. Was gestern sicher war, kann heute verwundbar sein. Setze Severity-Thresholds und blocke Deployments bei kritischen Findings.

📜 IAM – Identity and Access Management

Definition: Verwaltung von Identitäten und deren Zugriffsrechten.

Warum wichtig? Cloud-Provider leben davon; alles hängt an sauberem IAM.

Sentinel-Kommentar 🛡️: „IAM ist das neue Root-Passwort. Schlampig? Dann offen wie ein Scheunentor.“

Praxis-Tipp: Nutze IAM-Analyzer-Tools deines Cloud-Providers, um überprivilegierte Rollen zu identifizieren. Aktiviere MFA für alle menschlichen Accounts. Für Maschinen nutze kurzlebige Credentials oder Workload Identity.

🔒 Secret Management

Definition: Verwaltung von Passwörtern, Keys, Tokens außerhalb von Images/Code. Tools: Vault, K8s Secrets.

Warum wichtig? Secrets im Git = Security-Fail.

Sentinel-Kommentar 🛡️: „Passwörter im Repo sind wie Schlüssel auf der Fußmatte. Jeder findet sie.“

Praxis-Tipp: Verschlüssle Kubernetes Secrets at Rest via KMS. Nutze External Secrets Operator, um Secrets aus Vault oder Cloud-Secret-Stores zu synchen. Rotiere Credentials regelmäßig und automatisiert.

⚖️ Compliance (in DevOps)

Definition: Einhaltung von Policies, Standards, Gesetzen (z. B. DSGVO, ISO27001).

Warum wichtig? Automatisierte Checks im Pipeline-Flow → kein „Security by Audit“, sondern laufend.

Sentinel-Kommentar 🛡️: „Compliance ist kein Excel-Report. Es ist Code, der deine Regeln erzwingt.“

Praxis-Tipp: Policy-as-Code mit OPA (Open Policy Agent) oder Kyverno macht Compliance testbar und durchsetzbar. Schreibe Policies für Image-Quellen, Resource-Limits, Network-Policies und mehr.

🌐 Ingress Controller

Definition: Kubernetes-Komponente, die externen Traffic an Services weiterleitet.

Warum wichtig? Standard-Türsteher für APIs/Webapps, inkl. TLS.

Sentinel-Kommentar 🛡️: „Ingress ohne TLS ist wie Haustür ohne Schloss.“

Praxis-Tipp: Automatisiere TLS-Zertifikate mit cert-manager und Let’s Encrypt. Aktiviere Rate-Limiting und Web Application Firewall-Rules direkt im Ingress. Nginx Ingress und Traefik bieten dafür Annotationen.

📦 Immutable Infrastructure

Definition: Systeme werden nicht geflickt, sondern neu gebaut und ersetzt.

Warum wichtig? Weniger Drift, reproduzierbar, sicherer.

Sentinel-Kommentar 🛡️: „Immutable heißt: reparier nix, bau neu. Spart Chaos und Exploits.“

Praxis-Tipp: Verbiete SSH-Zugriff auf Produktions-Nodes. Jede Änderung muss durch die Pipeline. Container sind von Natur aus immutable – nutze das. Bei Problemen: neues Image bauen, nicht in laufende Container patchen.

🛠️ CI/CD – Continuous Integration / Continuous Deployment

Definition: Automatisierte Build-, Test- und Deployment-Pipelines.

Warum wichtig? Basis von DevOps – ohne CI/CD keine Geschwindigkeit, keine Sicherheit.

Sentinel-Kommentar 🛡️: „Ohne CI/CD bist du 2025 im Mittelalter. Menschen klicken, Maschinen wiederholen.“

Praxis-Tipp: Security-Gates in jeder Pipeline-Stage: Linting, SAST, Vulnerability-Scan, SBOM-Generierung, Policy-Checks. Erst wenn alle grün sind, geht’s weiter. GitOps mit ArgoCD oder Flux macht Deployments nachvollziehbar und rollback-fähig.

🔐 Zero Trust Architecture

Definition: Sicherheitsmodell, das keinem Netzwerk-Segment vertraut – jede Anfrage wird authentifiziert und autorisiert.

Warum wichtig? Das klassische Perimeter-Modell ist tot. Angreifer sind oft schon im Netz.

Sentinel-Kommentar 🛡️: „Vertraue niemandem, verifiziere alles. Auch intern.“

Praxis-Tipp: Implementiere Network Policies in Kubernetes, die standardmäßig alles blocken. Erlaube nur explizit benötigte Verbindungen. Service Meshes unterstützen Zero Trust auf Application-Layer.

Offizielle Dokumentationen & Referenzen

Kubernetes Security:

SBOM & Vulnerability Scanning:

DevOps Security Best Practices:

Zero Trust & mTLS:

CVE Datenbanken:

Wenn du deinen Artikel veröffentlichen möchtest (z.B. auf Medium, Dev.to, deinem Blog), kannst du dann natürlich den entsprechenden Link teilen!

Fazit

Dieses Glossar ist deine Schnellreferenz. Nicht alles wissen, aber alles nachschlagen können. Und vergiss nicht: Security ist kein Tool, sondern eine Haltung. Es geht nicht darum, jedes neue Framework zu beherrschen, sondern die Prinzipien zu verstehen und konsequent anzuwenden. DevOps ohne Security ist wie ein Auto ohne Bremsen – vielleicht schnell, aber definitiv keine gute Idee.

Tags: #DevOps #Security #RBAC #mTLS #SBOM #IAM #CI/CD #Secrets #ZeroTrust #Compliance