Anzeige

Wer die Migration von klassischer IT zu Cloud-Native-Anwendungen verantwortet, trifft nicht nur auf neue Techniken und Methoden, sondern auch auf eine veränderte Kultur. Microservices fokussieren stark auf ihre Kernfunktionen. Die Gefahr beim Merge: Sicherheitsaspekte werden vernachlässigt. Wie lassen sich die Risiken in den Griff bekommen?

Die Sicherheit von Anwendungen, Daten und Netzwerken war in der klassischen Applikationsentwicklung eher eine von der Entwicklung unabhängige Aufgabe. Eine Frage des abgesicherten Betriebs. Mit der Trennung von Entwicklungs-, Test- und Produktivumgebungen sowie technische Einrichtungen wie Firewalls und Zugriffsschutz bildeten Security-Experten eine den Anwendungen vorgelagerte Verteidigungslinie.

Die Containertechnologie und die schnelle Entwicklung von Microservices bieten Unternehmen ungeahnte Flexibilität in der Bereitstellung skalierbarer Applikationen. Doch die bisher gültige Trennung von Entwicklung und sicherem Betrieb funktioniert in den neuen Strukturen nicht mehr. Im Bestreben immer schlanker zu entwickeln, steigt die Gefahr, Sicherheit zu vernachlässigen. Denn: Streng genommen müsste jeder Container mit eigenen Sicherheitsmechanismen ausgestattet werden. Laut Global Developer Report 2019 von GitLab haben allerdings 49 Prozent der befragten Sicherheitsprofis Schwierigkeiten damit, Entwickler dazu zu bringen, der Behebung von Sicherheitsschwachstellen die erforderliche Priorität einzuräumen. Das Abarbeiten von Checklisten ist kein Teil der Cloud-Native-Kultur.

Alternative Ansätze

Sicherer Code ist der Königsweg. Aber es gibt für Verantwortliche auch andere Wege, die IT-Security in containerbasierten Cloud-Native-Anwendungen zu verbessern. So bieten die IT-Experten der noris network Unternehmen viele Hilfestellungen, die über die Bereitstellung von Platform-as-a-Service-Angeboten hinausgehen. 

Als Plattform stellt noris network ein mandantenfähiges Technologie-Stack aus Docker-, Kubernetes- und Continuous-Delivery-Technologien als Managed Services an. Unternehmen können dann zusätzlich je nach Bedarf Zusatzleistungen wie Beratung und DevOps in Anspruch nehmen. Beim Thema Sicherheit in containerbasierten Umgebungen verfolgt noris network zwei sich ergänzende Ansätze. 

Zum einen bietet OpenShift interne Möglichkeiten, Sicherheitslücken zu schließen. Ein Beispiel ist das Service-Mesh-Werkzeug Istio. Die Komplexität der interagierenden Microservices lässt sich damit beherrschen und Sicherheitsfunktionen ermöglichen es, IT-Security auf dieser Anwendungsebene zu adressieren. Istio stellt einen sicheren Kommunikationskanal zur Verfügung und verwaltet die Authentifizierung, Autorisierung und Verschlüsselung der Servicekommunikation. Servicekommunikation wird standardmäßig gesichert, Richtlinien werden konsistent über verschiedene Protokolle und Laufzeiten hinweg durchgesetzt. Weitere von noris network bereitgestellte Tools sind Twistlock, Aqua Security oder HashiCorp Vault. Der Einsatz solcher Tools ermöglicht es Cloud-Native-Entwicklern, sich weiter auf die Funktionalitäten ihrer Microservices zu fokussieren und gleichzeitig ein transparent durchsetzbares, deutlich höheres Sicherheitsniveau beim Zusammenspiel der Services zu schaffen. Zudem werden die Sicherheitsmaßnahmen auditierbar.

Der zweite Ansatz: hybrid

Selbst Unternehmen, die schon sehr viel mit Cloud-Native-Anwendungen arbeiten, haben parallel klassische Client-Server- und sogar Legacy-Anwendungen. Aus dieser Praxis hat sich ein zweiter Lösungsansatz ergeben. So ist es möglich, in Containern virtualisierte Cloud-Software mit konventionellen Managed Security Services zu schützen, wie etwa einer Web Application Firewall.

Skalierbare Beratung und Services

Nicht nur Entwickler, auch Unternehmen und Verantwortliche müssen zunächst Erfahrungen mit Containern und Cloud-Native-Anwendungen machen. Allerdings: Lernkurven sind in der IT-Sicherheit oft gleichbedeutend mit Sicherheitslücken und gerade im Containerumfeld nachträglich schwer zu schließen. Wer das vermeiden will, kann seine Lernkurve über Consulting und Managed Services verkürzen. Dienstleister wie noris network, die klassische, hybride und Cloud-Infrastrukturen betreiben und dabei einen ausgeprägten, modernen DevOps-Ansatz pflegen, können hier wertvolle Hilfe leisten. 

Dies umfasst ausdrücklich auch die Dokumentation der Sicherheitsmaßnahmen. Compliance-Regeln wie normengerechte Risikoabschätzungen, Beschreibung, Kontrolle und Dokumentation von Sicherheitsmaßnahmen werden durch agile Methoden, Container- und Cloud-Technologien nicht obsolet. Sie müssen von den Unternehmen weiter geleistet und von den IT-Verantwortlichen zuverlässig und lückenlos organisiert werden. Wer hier intern keine Ressourcen hat, kann bei der noris network auf einen Pool von spezialisierten Servicemanagern zugreifen, die ein ITIL-konformes Servicemanagement mit der entsprechenden Dokumentation sicherstellen – auch für die containerbasierten Entwicklungen.

Weitere Informationen zu noris network 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Okt 14, 2019

IT-Sicherheit braucht ein Gesamtkonzept

Die it-sa in Nürnberg hat ihre Tore geschlossen, Hersteller von IT-Security-Komponenten…
Data Center
Okt 14, 2019

Ohne moderne Rechenzentren keine Digitalisierung

Deutschland diskutiert über die Digitalisierung von Wirtschaft und Unternehmen. Das ist…

Weitere Artikel

E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!