Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Security Schild Hand 245822833 700

Wer die Migration von klassischer IT zu Cloud-Native-Anwendungen verantwortet, trifft nicht nur auf neue Techniken und Methoden, sondern auch auf eine veränderte Kultur. Microservices fokussieren stark auf ihre Kernfunktionen. Die Gefahr beim Merge: Sicherheitsaspekte werden vernachlässigt. Wie lassen sich die Risiken in den Griff bekommen?

Die Sicherheit von Anwendungen, Daten und Netzwerken war in der klassischen Applikationsentwicklung eher eine von der Entwicklung unabhängige Aufgabe. Eine Frage des abgesicherten Betriebs. Mit der Trennung von Entwicklungs-, Test- und Produktivumgebungen sowie technische Einrichtungen wie Firewalls und Zugriffsschutz bildeten Security-Experten eine den Anwendungen vorgelagerte Verteidigungslinie.

Die Containertechnologie und die schnelle Entwicklung von Microservices bieten Unternehmen ungeahnte Flexibilität in der Bereitstellung skalierbarer Applikationen. Doch die bisher gültige Trennung von Entwicklung und sicherem Betrieb funktioniert in den neuen Strukturen nicht mehr. Im Bestreben immer schlanker zu entwickeln, steigt die Gefahr, Sicherheit zu vernachlässigen. Denn: Streng genommen müsste jeder Container mit eigenen Sicherheitsmechanismen ausgestattet werden. Laut Global Developer Report 2019 von GitLab haben allerdings 49 Prozent der befragten Sicherheitsprofis Schwierigkeiten damit, Entwickler dazu zu bringen, der Behebung von Sicherheitsschwachstellen die erforderliche Priorität einzuräumen. Das Abarbeiten von Checklisten ist kein Teil der Cloud-Native-Kultur.

Alternative Ansätze

Sicherer Code ist der Königsweg. Aber es gibt für Verantwortliche auch andere Wege, die IT-Security in containerbasierten Cloud-Native-Anwendungen zu verbessern. So bieten die IT-Experten der noris network Unternehmen viele Hilfestellungen, die über die Bereitstellung von Platform-as-a-Service-Angeboten hinausgehen. 

Als Plattform stellt noris network ein mandantenfähiges Technologie-Stack aus Docker-, Kubernetes- und Continuous-Delivery-Technologien als Managed Services an. Unternehmen können dann zusätzlich je nach Bedarf Zusatzleistungen wie Beratung und DevOps in Anspruch nehmen. Beim Thema Sicherheit in containerbasierten Umgebungen verfolgt noris network zwei sich ergänzende Ansätze. 

Zum einen bietet OpenShift interne Möglichkeiten, Sicherheitslücken zu schließen. Ein Beispiel ist das Service-Mesh-Werkzeug Istio. Die Komplexität der interagierenden Microservices lässt sich damit beherrschen und Sicherheitsfunktionen ermöglichen es, IT-Security auf dieser Anwendungsebene zu adressieren. Istio stellt einen sicheren Kommunikationskanal zur Verfügung und verwaltet die Authentifizierung, Autorisierung und Verschlüsselung der Servicekommunikation. Servicekommunikation wird standardmäßig gesichert, Richtlinien werden konsistent über verschiedene Protokolle und Laufzeiten hinweg durchgesetzt. Weitere von noris network bereitgestellte Tools sind Twistlock, Aqua Security oder HashiCorp Vault. Der Einsatz solcher Tools ermöglicht es Cloud-Native-Entwicklern, sich weiter auf die Funktionalitäten ihrer Microservices zu fokussieren und gleichzeitig ein transparent durchsetzbares, deutlich höheres Sicherheitsniveau beim Zusammenspiel der Services zu schaffen. Zudem werden die Sicherheitsmaßnahmen auditierbar.

Der zweite Ansatz: hybrid

Selbst Unternehmen, die schon sehr viel mit Cloud-Native-Anwendungen arbeiten, haben parallel klassische Client-Server- und sogar Legacy-Anwendungen. Aus dieser Praxis hat sich ein zweiter Lösungsansatz ergeben. So ist es möglich, in Containern virtualisierte Cloud-Software mit konventionellen Managed Security Services zu schützen, wie etwa einer Web Application Firewall.

Skalierbare Beratung und Services

Nicht nur Entwickler, auch Unternehmen und Verantwortliche müssen zunächst Erfahrungen mit Containern und Cloud-Native-Anwendungen machen. Allerdings: Lernkurven sind in der IT-Sicherheit oft gleichbedeutend mit Sicherheitslücken und gerade im Containerumfeld nachträglich schwer zu schließen. Wer das vermeiden will, kann seine Lernkurve über Consulting und Managed Services verkürzen. Dienstleister wie noris network, die klassische, hybride und Cloud-Infrastrukturen betreiben und dabei einen ausgeprägten, modernen DevOps-Ansatz pflegen, können hier wertvolle Hilfe leisten. 

Dies umfasst ausdrücklich auch die Dokumentation der Sicherheitsmaßnahmen. Compliance-Regeln wie normengerechte Risikoabschätzungen, Beschreibung, Kontrolle und Dokumentation von Sicherheitsmaßnahmen werden durch agile Methoden, Container- und Cloud-Technologien nicht obsolet. Sie müssen von den Unternehmen weiter geleistet und von den IT-Verantwortlichen zuverlässig und lückenlos organisiert werden. Wer hier intern keine Ressourcen hat, kann bei der noris network auf einen Pool von spezialisierten Servicemanagern zugreifen, die ein ITIL-konformes Servicemanagement mit der entsprechenden Dokumentation sicherstellen – auch für die containerbasierten Entwicklungen.

Weitere Informationen zu noris network 

Tb W90 H64 Crop Int 600fdfda5e5b790b51dc29d51f18d805
Okt 14, 2019

IT-Sicherheit braucht ein Gesamtkonzept

Die it-sa in Nürnberg hat ihre Tore geschlossen, Hersteller von IT-Security-Komponenten…
Data Center
Okt 14, 2019

Ohne moderne Rechenzentren keine Digitalisierung

Deutschland diskutiert über die Digitalisierung von Wirtschaft und Unternehmen. Das ist…
GRID LIST
Pishing

Die Entscheidung zwischen technischen oder organisatorischen Lösungen

Die Kombination macht‘s: Welche Maßnahmen wirklich gegen Phishing helfen. Denn:…
Tb W190 H80 Crop Int 9b015b24c2811e65f1a8f3a34499a66b

Schwachstellen kennen ist nur die halbe Miete

Zumindest nach außen hin sagen viele Unternehmen, dass der Schwerpunkt ihrer…
Tb W190 H80 Crop Int 391a76a85a3fec197190e2d4a9ad5432

Neue NIST-Richtlinien zur Zero-Trust-Architektur

Vor wenigen Wochen veröffentlichte das National Institute for Standards and Technology…
Psychologie Kopf

Psychologie trifft IT-Sicherheit

Psychologische Erkenntnisse aus den Kognitionswissenschaften lassen sich auf den…
Budgethilfe

Kostenfreies Tool für IT-Security Budget-Check

Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68…
Marriott Hotel

Ein Jahr nach dem Marriott-Breach

Ein Jahr danach: Die Lehren aus dem Marriott-Breach. Ein Experten-Kommentar von Klaus…