Anzeige

Cloud Computing

Container-basierte und serverlose cloud-native Architekturen stellen die bedeutendsten Computing-Fortschritte für die Bereitstellung von Anwendungen in Unternehmen dar, seit VMware 1999 sein erstes Produkt, Workstation 1.0, vorgestellt hat.

Obwohl diese Technologien bei Flexibilität, Kosteneinsparungen und Skalierbarkeit eine Reihe von Vorteilen bieten, sind sie auch mit neuartigen sicherheitstechnischen Herausforderungen verbunden, die es bei der Migration von Anwendungen vom Rechenzentrum in die Cloud zu berücksichtigen gilt.

Bei sachgemäßer Umstellung kann für diese neuen Entwicklungs- und Bereitstellungsumgebungen ein noch nie dagewesenes Sicherheitsniveau erreicht werden. CISO sollte sich jedoch darüber im Klaren sein, welchen Einfluss diese modernen Technologien auf den Sicherheits- und Compliance-Status seiner Organisationen haben, wenn das Unternehmen sie in der Produktion einführt, und seine Erwartungen im Vergleich zu den vorhandenen Tools und Methoden neu justieren.

Früher hatten Sicherheitsabteilungen die Möglichkeit, auch noch kurz vor der Umstellung von Anwendungen auf die Live-Produktionssysteme prüfend und beratend einzugreifen.  Noch kurz vor einem Release wurden die erforderlichen Änderungen vorgenommen, häufig unter Inkaufnahme erheblicher Verzögerungen, um den bestehenden Anforderungen an Betrieb, Sicherheit und Compliance gerecht zu werden. Das war einmal. Die DevOps-Bewegung setzt ganz auf Geschwindigkeit und gibt Entwicklern das Rüstzeug an die Hand, Anwendungen schneller denn je zu entwickeln und bereitzustellen, oftmals auf Grundlage automatisierter Prozesse. Die IT-Sicherheit kann diesen Fortschritt nicht aufhalten und wird auf der Strecke bleiben, wenn sie versucht, ihn zu bremsen. CISOs sollte sich vorrangig mit der Entwicklung und Umsetzung einer Strategie beschäftigen, die einen proaktiven Umgang mit cloud-nativen Sicherheitsanforderungen ermöglicht. 

Veränderliche Rahmenbedingungen

Bei den Gesprächen mit unseren Kunden wird eine Herausforderung immer wieder genannt: wie fließend und dynamisch die Rahmenbedingungen mittlerweile sind. Hieraus ergibt sich ein neuartiges Sicherheitsparadigma: Unternehmen müssen in der Lage sein, ihre cloud-nativen Anwendungen schon ganz früh während ihrer Entwicklung bis hin zur Bereitstellung in der Produktion, über Multi-Cloud-Umgebungen hinweg und trotz eines sich ständig ändernden Technologie-Stacks zu schützen und zu sichern. 

Portworx, ein Unternehmen, das sich auf Container-Speicherung und Datenmanagement spezialisiert hat, führt seit 2016 jedes Jahr einen Container Adoption Survey aus. Die 2019er Umfrage, die zusammen mit Aqua durchgeführt wurde, „zeichnet ein Bild von unvermindertem Wachstum im Bereich der Containerisierung, gaben doch mittlerweile 87 % der Befragten an, dass sie mit Container-Technologien arbeiten, im Vergleich zu nur 55 % in 2017. Von denen, die Anwendungen in Containern nutzen, setzen diese 90 % in der Produktion ein, im Vergleich zu 84 % in 2018 und 67 % in 2017.“

Während die Portworx-Umfrage 2017 die persistente Speicherung noch als wichtigsten Hemmschuh für die Einführung von Container-Technologien ausmachte, schaffte es dieser Aspekt im letzten Jahr nicht unter die Top 3. 2019 wurden als die drei wichtigsten Herausforderungen die Datensicherheit, das Schwachstellen-Management und der Laufzeitschutz genannt.

Sicherheit in der DevOps-Welt

Doch selbst in diesem sich rasch wandelnden Sicherheitsumfeld setzen viele Unternehmen weiterhin auf herkömmliche Sicherheitstools, die häufig nicht mit der Geschwindigkeit, der Größe und der dynamischen Netzwerkumgebung von Containern Schritt halten können. Das Aufkommen neuartiger serverloser Funktionen verschärft das Problem zusätzlich, weil diese die Infrastruktur noch weiter abstrahieren, um eine einfache Ausführungsumgebung für Anwendungen und Microservices bieten zu können. Cyberkriminelle sind darauf aus, Schwachstellen im serverlosen Funktionscode auszunutzen oder machen sich schlecht konfigurierte Berechtigungen für Cloud-Infrastrukturen zu Nutze, um sich Zugang zu Services oder Netzwerken mit sensiblen Informationen zu verschaffen.

Die steigende Abhängigkeit von Open-Source-Anwendungen stellt eine weitere mögliche Sicherheitsschwachstelle dar. Programmcode wird nie ganz neu geschrieben, jeder bedient sich mittlerweile bei Komponenten auf GitHub oder anderen Open-Source-Projekten oder nutzt vorhandenen Code in Repositorys innerhalb oder außerhalb seines Unternehmens, möglicherweise ohne sich der Schwachstellen in der Codebasis bewusst zu sein. 

Denn in einer von DevOps dominierten Welt ist Geschwindigkeit das oberste Gebot. Die Produktivität steigt, aber mit ihr auch das Sicherheitsrisiko. Gestern noch wurde der Code an die Zielarchitektur angepasst, bevor er auf der von der IT vorgegebenen Standardbetriebsplattform in Produktion ging. Heutzutage stellen Unternehmen ihre in Containern entwickelten Anwendungen aus Gründen der Geschwindigkeit direkt in der Produktion bereit, verwalten sie mithilfe von Kubernetes und lassen sie irgendwo in der Cloud ausführen (gegebenenfalls immer noch am Standort, häufig jedoch über einen Public-Cloud-Service). Dieses Modell verlangt Entwicklern und dem operativen Team ein gesteigertes Sicherheitsbewusstsein ab, wobei die Sicherheit umfassend in den Software-Lebenszyklus integriert werden muss.

Umgang mit Multi-Cloud, Multi-Stack

Viele unserer Kunden experimentieren mit Technologien von verschiedenen Anbietern, die auf unterschiedlichen Cloud-Plattformen ausgeführt werden, und stellen Anwendungen sogar gleichzeitig auf mehreren Plattformen bereit. So halten sie sich die Option offen, entweder auf Kostenoptimierung zu setzen oder den Stack zu verwenden, der am besten zu einer bestimmten Anforderung passt, und verhindern gleichzeitig eine zu starke Bindung an einen Anbieter. Dies kann aber zu Problemen für Ihre Entwickler führen, insbesondere bei serverlosen Technologien, da sich die Standards in diesem Bereich gerade erst entwickeln. Gegen Experimente ist nichts einzuwenden, aber in der Produktion benötigen Sie eine Strategie, mit der Sie festlegen, welche Plattformen verwendet und wie die Sicherheitsrichtlinien für alle bereitgestellten Anwendungen unabhängig von Plattform oder Anbieter umgesetzt werden.  Eine einzige Sicherheitslösung, die alle Ihre Betriebsumgebungen durch einheitliche Richtlinien, Managementtools und Berichtsfunktionen unterstützt, kann dies ermöglichen.

Cloud-native Umgebungen besitzen eine Reihe von Eigenschaften, die es einfacher machen, sie zu schützen. Hierzu müssen Unternehmen eine neue Art von Sicherheitsmodell umsetzen, bei dem die Container-Images mitsamt ihrer Inhalte schon bei der Generierung geprüft werden und die Unveränderlichkeit der Workload zur Laufzeit garantiert wird, um Änderungen an den ausgeführten Workloads zu verhindern. Das Ergebnis? Eine stark kontrollierte Umgebung, die die Angriffsfläche erheblich reduziert, bevor eine Anwendung bereitgestellt wird, und die zur Laufzeit überwacht wird, sodass es vergleichsweise einfach ist, Anomalien mithilfe deterministischer Methoden zu erkennen und darauf zu reagieren.

Arne Jacobsen, Director Sales EMEA
Arne Jacobsen
Director Sales EMEA, Aqua Security
Arne Jacobsen ist Director Sales EMEA bei Aqua Security. Arne Jacobsen ist für den Aufbau und die Entwicklung des Kundenstamms hauptsächlich im deutschsprachigen Markt zuständig. Arne Jacobsen verfügt über 20 Jahre Erfahrung in der IT- und Sicherheitsbranche und hatte verschiedene Managementpositionen bei Start-up-Unternehmen inne. Sein Schwerpunkt ist Cybersicherheit im speziellen Vulnerability Management. Bevor er zu Aqua kam, war Arne als Sales Director EMEA bei IBM Resilient tätig.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Multi-Cloud
Sep 01, 2020

Multi-Cloud: So machen Sie Ihre Daten fit

85 Prozent der Unternehmen arbeiten bereits mit einer Multi-Cloud-Umgebung. Bis 2021…
Bergtour
Mai 26, 2020

Die Tour auf den „Vulnerability Management Mountain“

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit…
DevOps als neuer Standard?
Apr 03, 2020

Mit DevOps Wettbewerbsvorteile realisieren

DevOps hat das Potenzial, die vielen Herausforderungen zu bewältigen, denen sich die…

Weitere Artikel

Cloud Computing

IT-Entscheidungsträger greifen für Data Warehouses und Datenbanken zur Cloud

Die MariaDB Corporation gibt neue Ergebnisse ihrer kürzlich durchgeführten globalen Studie bekannt. Für diese befragten sie deutsche und internationale IT-Führungskräfte zu allgemeinen Cloud- und Datenbanktrends und zu den Auswirkungen von COVID-19 auf…
 Cloud

Software-Lösung KIX geht in die Cloud

Cloud-Services sind schon längst keine Randerscheinung mehr. Aktuell nutzen etwa drei von vier Unternehmen Cloud-Technologie im täglichen Betrieb, und es werden immer mehr. Im Bereich der IT-Management-Systeme bietet jetzt auch cape IT eine Cloud für ihre…
Cloud Computing

8 Gründe für ein Comeback der Private Cloud

In der Vergangenheit konnte die Public Cloud beeindruckende Zuwachsraten verzeichnen. Dass viele dieser Lösungen mit geringem administrativen Aufwand einzurichten und zu nutzen sind, sich einfach skalieren lassen und auch noch günstig sind: Das kommt vielen…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!