Wenn IT-Sicherheit zur Kulturfrage wird

Featured

Wer die Migration von klassischer IT zu Cloud-Native-Anwendungen verantwortet, trifft nicht nur auf neue Techniken und Methoden, sondern auch auf eine veränderte Kultur. Microservices fokussieren stark auf ihre Kernfunktionen. Die Gefahr beim Merge: Sicherheitsaspekte werden vernachlässigt. Wie lassen sich die Risiken in den Griff bekommen?

Die Sicherheit von Anwendungen, Daten und Netzwerken war in der klassischen Applikationsentwicklung eher eine von der Entwicklung unabhängige Aufgabe. Eine Frage des abgesicherten Betriebs. Mit der Trennung von Entwicklungs-, Test- und Produktivumgebungen sowie technische Einrichtungen wie Firewalls und Zugriffsschutz bildeten Security-Experten eine den Anwendungen vorgelagerte Verteidigungslinie.

Anzeige

Die Containertechnologie und die schnelle Entwicklung von Microservices bieten Unternehmen ungeahnte Flexibilität in der Bereitstellung skalierbarer Applikationen. Doch die bisher gültige Trennung von Entwicklung und sicherem Betrieb funktioniert in den neuen Strukturen nicht mehr. Im Bestreben immer schlanker zu entwickeln, steigt die Gefahr, Sicherheit zu vernachlässigen. Denn: Streng genommen müsste jeder Container mit eigenen Sicherheitsmechanismen ausgestattet werden. Laut Global Developer Report 2019 von GitLab haben allerdings 49 Prozent der befragten Sicherheitsprofis Schwierigkeiten damit, Entwickler dazu zu bringen, der Behebung von Sicherheitsschwachstellen die erforderliche Priorität einzuräumen. Das Abarbeiten von Checklisten ist kein Teil der Cloud-Native-Kultur.

Alternative Ansätze

Sicherer Code ist der Königsweg. Aber es gibt für Verantwortliche auch andere Wege, die IT-Security in containerbasierten Cloud-Native-Anwendungen zu verbessern. So bieten die IT-Experten der noris network Unternehmen viele Hilfestellungen, die über die Bereitstellung von Platform-as-a-Service-Angeboten hinausgehen. 

Als Plattform stellt noris network ein mandantenfähiges Technologie-Stack aus Docker-, Kubernetes- und Continuous-Delivery-Technologien als Managed Services an. Unternehmen können dann zusätzlich je nach Bedarf Zusatzleistungen wie Beratung und DevOps in Anspruch nehmen. Beim Thema Sicherheit in containerbasierten Umgebungen verfolgt noris network zwei sich ergänzende Ansätze. 

Zum einen bietet OpenShift interne Möglichkeiten, Sicherheitslücken zu schließen. Ein Beispiel ist das Service-Mesh-Werkzeug Istio. Die Komplexität der interagierenden Microservices lässt sich damit beherrschen und Sicherheitsfunktionen ermöglichen es, IT-Security auf dieser Anwendungsebene zu adressieren. Istio stellt einen sicheren Kommunikationskanal zur Verfügung und verwaltet die Authentifizierung, Autorisierung und Verschlüsselung der Servicekommunikation. Servicekommunikation wird standardmäßig gesichert, Richtlinien werden konsistent über verschiedene Protokolle und Laufzeiten hinweg durchgesetzt. Weitere von noris network bereitgestellte Tools sind Twistlock, Aqua Security oder HashiCorp Vault. Der Einsatz solcher Tools ermöglicht es Cloud-Native-Entwicklern, sich weiter auf die Funktionalitäten ihrer Microservices zu fokussieren und gleichzeitig ein transparent durchsetzbares, deutlich höheres Sicherheitsniveau beim Zusammenspiel der Services zu schaffen. Zudem werden die Sicherheitsmaßnahmen auditierbar.

Der zweite Ansatz: hybrid

Selbst Unternehmen, die schon sehr viel mit Cloud-Native-Anwendungen arbeiten, haben parallel klassische Client-Server- und sogar Legacy-Anwendungen. Aus dieser Praxis hat sich ein zweiter Lösungsansatz ergeben. So ist es möglich, in Containern virtualisierte Cloud-Software mit konventionellen Managed Security Services zu schützen, wie etwa einer Web Application Firewall.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Skalierbare Beratung und Services

Nicht nur Entwickler, auch Unternehmen und Verantwortliche müssen zunächst Erfahrungen mit Containern und Cloud-Native-Anwendungen machen. Allerdings: Lernkurven sind in der IT-Sicherheit oft gleichbedeutend mit Sicherheitslücken und gerade im Containerumfeld nachträglich schwer zu schließen. Wer das vermeiden will, kann seine Lernkurve über Consulting und Managed Services verkürzen. Dienstleister wie noris network, die klassische, hybride und Cloud-Infrastrukturen betreiben und dabei einen ausgeprägten, modernen DevOps-Ansatz pflegen, können hier wertvolle Hilfe leisten. 

Dies umfasst ausdrücklich auch die Dokumentation der Sicherheitsmaßnahmen. Compliance-Regeln wie normengerechte Risikoabschätzungen, Beschreibung, Kontrolle und Dokumentation von Sicherheitsmaßnahmen werden durch agile Methoden, Container- und Cloud-Technologien nicht obsolet. Sie müssen von den Unternehmen weiter geleistet und von den IT-Verantwortlichen zuverlässig und lückenlos organisiert werden. Wer hier intern keine Ressourcen hat, kann bei der noris network auf einen Pool von spezialisierten Servicemanagern zugreifen, die ein ITIL-konformes Servicemanagement mit der entsprechenden Dokumentation sicherstellen – auch für die containerbasierten Entwicklungen.

Weitere Informationen zu noris network 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.