Unternehmen setzen hybride Cloud-Technologien auf ihrem Weg zur digitalen Transformation ein: Durch die Integration von Flexibilität, Agilität und einzigartigen kulturellen Veränderungen in Geschäftsprozesse, sollen Nutzererfahrungen verbessert werden. Experten gehen davon aus, dass bis 2020 90 Prozent der Unternehmen hybride Cloud-Infrastrukturen und -Services aufbauen oder nutzen. Tatsächlich ermöglicht es eine hybride Cloud, Workload-Anforderungen flexibel zu verwalten, indem öffentliche Cloud-Plattformen für den Betrieb von Anwendungen dienen und private Cloud-Infrastrukturen für das Management der Daten, die für die Anwendungen erforderlich sind .
Diesen Szenarien entsprechend sind auch die Anforderungen an Sicherheit für die Hybrid Cloud einzigartig. Herkömmliche Sicherheit reicht nicht aus, wenn Workloads im Rahmen einer hybriden Cloud auf verschiedenen Plattformen und in unterschiedlichen Umgebungen – privaten, öffentlichen und auch On-Premise-Infrastrukturen -- ausgeführt werden. Noch komplizierter wird die Absicherung der Workloads infolge der stetig steigenden Beliebtheit von Containern und Microservices. Kommt noch DevOps ins Spiel, so muss Sicherheit in einen Ansatz integriert sein, der auf Rapid Development und schnelle Lieferung ausgerichtet ist. Deshalb laufen Unternehmen mit DevOps häufig Gefahr, Sicherheit zu übersehen.
Welches sind nun die Hürden, die Unternehmen überwinden müssen, wenn sie Sicherheit in die DevOps-Pipeline einbauen wollen?Allein in der ersten Hälfte 2018 entdeckten die Sicherheitsforscher 47 neue Krypto-Mining-Schadsoftware- und 118 neue Ransomware-Familien. Zudem verteilten sich die Bedrohungen auch auf für Unternehmen kritische Infrastrukturen, von Webservern und Anwendungsentwicklungs-Plattformen bis zu mobilen Geräten . 2017 beispielsweise griff die Erebus Linux Ransomware ein südkoreanisches Webentwicklungsunternehmen an und zog 153 Linux-Server in Mitleidenschaft sowie mehr als 3.400 Geschäfte. Der Schaden: Mehr als eine Million Dollar Verlust und eine beschädigte Reputation sowie ein teurer Wiederherstellungsprozess.
Nicht nur die Umsätze von Unternehmen sind gefährdet, die Auswirkungen sind noch dramatischer, wenn es um die strengen Compliance-Anforderungen geht, etwa um die Implementierung von Privacy by Design – eine Forderung der europäischen Datenschutz-Grundverordnung (DSGVO) .
In der Tat benötigen Workloads eine Sicherheitsstrategie, die mit heutigen sich weiter entwickelnden und zunehmenden Bedrohungen fertig wird. Für Unternehmen, die DevOps einsetzen, kann eine unsichere oder angreifbare Anwendung bzw. Software verschwendete Ressourcen bedeuten, denn die Teams müssen diese permanent überarbeiten, um den Sicherheits- und Compliance-Anforderungen nachzukommen.
Wird Sicherheit frühzeitig im Entwicklungszyklus integriert, so reduziert dies die Unterbrechungen signifikant, und zudem unterstützt dies IT- und DevOps-Teams dabei, Sicherheitslücken oder falsche Konfigurationen schneller zu beheben.
Wessen bedarf es?
Defense-in-Depth-Sicherheitsfähigkeiten, die Übersicht während des gesamten Lebenszyklus der Anwendungen oder Software bieten —vor der Bereitstellung bis zur Laufzeit. Beispielsweise helfen Sicherheitsmechanismen wie Intrusion Detection and Prevention Systems (IDS/IPS) und Firewalls, netzwerkbasierte Bedrohungen und Exploits auszubremsen, während Anwendungskontrolle vom Normalen abweichende Executables und Skripts an der Ausführung hindern. Experten rechnen damit, dass bis 2022 Anwendungskontrolle bei 60 Prozent der Server-Workloads eingesetzt wird. Für DevOps-Teams bedeutet das feste Einfügen von Sicherheit in den Entwicklungszyklus Security-as-Code. Dafür bedarf es skalierbarer Application Programming Interfaces (APIs) und Skripts, die auf Sicherheit vom ersten Build an ausgerichtet sind.
Trotz der steigenden Verbreitung von Containern (z.B. Docker ) in der Anwendungsentwicklung nutzen Unternehmen auch weitere Virtualisierungstechnologien und Plattformen, auch Onpremise- oder gar serverlose Infrastrukturen . Viele Unternehmen kombinieren für ihren Betrieb traditionelle und Cloud-basierte Services – von Netzwerken, Speicherstrukturen und Datencentern bis zu Software. Eine Umfrage aus diesem Jahr zeigt, dass Unternehmen durchschnittlich etwa 16 Software-as-a-Service (SaaS)-Anwendungen einsetzen , und Entwickler berücksichtigen die verschiedenen Umgebungen bei der Erstellung der Anwendungen. Die hybride Cloud stellt das aus beiden Welten dar: Sie nutzt und orchestriert private und öffentliche Cloud-Umgebungen für das Hosting und die Ausführung von Workloads.
Sicherheit über diese mehrfachen Computing-Plattformen hinweg zu gewährleisten, stellt viele Organisationen vor Herausforderungen. IT-Teams kämpfen mit unterschiedlichen und häufig nicht kompatiblen Sicherheits-Tools, was zu unnötiger Komplexität und höherem Overhead und damit Verzögerungen beim Incident Response führt. Als Silo aufgesetzte, disparate Plattformen zwingen Sicherheitsteams dazu, jede einzelne von ihnen manuell zu überwachen. Damit entstehen Flaschenhälse beim Incident- und Compliance-Reporting. Aus Sicht von DevOps erzeugen isolierte Teams (und Tools) tote Winkel für die Security, sodass sie tendenziell vernachlässigt wird (z.B. durch Übersehen von Schwachstellen im Code), wenn sie Anwendungen schneller bereitstellen wollen.
Wessen bedarf es?
Eine effiziente Sicherheitsstrategie sorgt für Transparenz über die Anwendungen und die zugrunde liegenden Infrastrukturen hinweg, für konsistente Sicherheit und Anpassungsfähigkeit an verschiedene Umgebungen. Übersicht über mehrere Cloud-Umgebungen hinweg stellt ein großes Anliegen in Unternehmen dar, können sie somit doch die zugrunde liegenden Infrastrukturen und Plattformen steuern, die sie für das Hosting, die Ausführung und Verwaltung ihrer Workloads verwenden. Sicherheitsteams wiederum sind in der Lage, die Prozesse für Audits, Compliance-Reportung und Risikomanagement schlanker zu gestalten. Sicherheits-Tools sollten einfach über verschiedene Umgebungen hinweg integriert werden können, müssen aber dennoch speziell für die Plattform erstellt werden, auf der DevOps-Teams ihre Anwendungen entwickeln und bereitstellen.
Automatisierung ist nicht nur ein Schlagwort: Sie ist für viele Unternehmen unabdingbar geworden, wenn sie ihre Arbeitsprozesse weiter verschlanken, um mit einer sich ständig verändernden Technologielandschaft Schritt zu halten. Ein anschauliches Beispiel dafür ist die Ausstattung von hybriden Cloud-Umgebungen mit Containern und anderen Microservices, um die erforderliche Skalierbarkeit für die Bereitstellung und Überwachung von Servern oder Anwendungen zu erzielen. Und wenn Tausende dieser Server oder Anwendungen gleichzeitig ausgeführt oder konfiguriert werden müssen, ist Automatisierung unerlässlich. In DevOps bedeutet Automatisierung Sicherstellung der Konsistenz durch optimierte und iterative Prozesse.
Leider wird Sicherheit häufig als etwas missverstanden , das den Entwicklungszyklus verlangsamen kann und somit als Hindernis. Das Fehlen von automatisierungsfähigen Tools und die Ansicht, Sicherheit könne den Geschäftsbetrieb stören, mögen zusätzlich dazu führen, dass Automatisierung für die Sicherheit nicht implementiert wird, sondern eher im Nachgang an die Reihe kommt oder gar ganz außen vor bleibt. Ein Beispiel dafür, was in einem solchen Fall passieren kann, bietet der berüchtigte Equifax-Datendiebstahl , der durch eine Schwachstelle in der Webanwendungssoftware des Unternehmens verursacht wurde, für deren Behebung Equifax, Berichten zufolge , zwei Monate (ab dem Zeitpunkt, zu dem die Schwachstelle zum ersten Mal bekannt wurde) benötigte.
Wessen bedarf es?
Mit automatisierten Sicherheits-Tools können Unternehmen Sicherheit in den DevOps-Prozess und die Tool-Kette (Orchestrierung, Überwachung, kontinuierliche Lieferung und IT-Servicemanagement) integrieren. Damit wird gewährleistet, dass Sicherheit über den gesamten Entwicklungszyklus vorhanden ist, ohne unnötige Reibungen zwischen Entwickler- und Operations-Teams zu erzeugen. Es überrascht nicht, dass 59 Prozent der befragten Unternehmen die Sicherheit in den DevOps-Prozessen automatisieren.
Unternehmen erkennen zunehmend die Bedeutung der Sicherheit für DevOps: Gartner geht davon aus , dass 2019, 70 Prozent der DevOps-Initiativen automatisierte Sicherheit sowie Schwachstellen- und Konfigurations-Scanning für Anwendungspakete einsetzen.
Ablauf der Prüfung von Dateien mit Hilfe der Trend Micro Hybrid Cloud Security-Lösung
Die Trend Micro-Lösung Hybrid Cloud Security bietet mächtige, schlanke und automatisierte Sicherheit für die DevOps Pipeline , unterstützt von mehreren XGen ™ Threat Defense-Techniken für den Schutz von physischen, virtuellen und Cloud Workloads. Zusätzlich werden auch Container via Deep Security und Deep Security Smart Check geschützt, einschließlich des Scanning von Container Images während in der Vorentwicklungsphase und während der Laufzeit.
Diese Lösungen reduzieren mit ihren verschiedenen Funktionalitäten die Zahl der erforderlichen Sicherheitstools. Ein zentrales Dashboard sorgt dabei für den Überblick und vollständige Einsichten in führende Umgebungen wie Amazon Web Services , Docker , Microsoft Azure und VMware . Die Trend Micro Deep Security-Lösung senkt die Kosten und die Komplexität der Sicherheit für Workloads über mehrere Umgebungen hinweg, einschließlich der automatisierten Bereitstellung, breiter API-Integration und Fähigkeiten, um Server virtuell vor den aktuellsten Bedrohungen zu schützen.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers