Umgang mit neuen Sicherheitsrisiken von cloud-nativen Architekturen

Container-basierte und serverlose cloud-native Architekturen stellen die bedeutendsten Computing-Fortschritte für die Bereitstellung von Anwendungen in Unternehmen dar, seit VMware 1999 sein erstes Produkt, Workstation 1.0, vorgestellt hat.

Obwohl diese Technologien bei Flexibilität, Kosteneinsparungen und Skalierbarkeit eine Reihe von Vorteilen bieten, sind sie auch mit neuartigen sicherheitstechnischen Herausforderungen verbunden, die es bei der Migration von Anwendungen vom Rechenzentrum in die Cloud zu berücksichtigen gilt.

Anzeige

Bei sachgemäßer Umstellung kann für diese neuen Entwicklungs- und Bereitstellungsumgebungen ein noch nie dagewesenes Sicherheitsniveau erreicht werden. CISO sollte sich jedoch darüber im Klaren sein, welchen Einfluss diese modernen Technologien auf den Sicherheits- und Compliance-Status seiner Organisationen haben, wenn das Unternehmen sie in der Produktion einführt, und seine Erwartungen im Vergleich zu den vorhandenen Tools und Methoden neu justieren.

Früher hatten Sicherheitsabteilungen die Möglichkeit, auch noch kurz vor der Umstellung von Anwendungen auf die Live-Produktionssysteme prüfend und beratend einzugreifen.  Noch kurz vor einem Release wurden die erforderlichen Änderungen vorgenommen, häufig unter Inkaufnahme erheblicher Verzögerungen, um den bestehenden Anforderungen an Betrieb, Sicherheit und Compliance gerecht zu werden. Das war einmal. Die DevOps-Bewegung setzt ganz auf Geschwindigkeit und gibt Entwicklern das Rüstzeug an die Hand, Anwendungen schneller denn je zu entwickeln und bereitzustellen, oftmals auf Grundlage automatisierter Prozesse. Die IT-Sicherheit kann diesen Fortschritt nicht aufhalten und wird auf der Strecke bleiben, wenn sie versucht, ihn zu bremsen. CISOs sollte sich vorrangig mit der Entwicklung und Umsetzung einer Strategie beschäftigen, die einen proaktiven Umgang mit cloud-nativen Sicherheitsanforderungen ermöglicht. 

Veränderliche Rahmenbedingungen

Bei den Gesprächen mit unseren Kunden wird eine Herausforderung immer wieder genannt: wie fließend und dynamisch die Rahmenbedingungen mittlerweile sind. Hieraus ergibt sich ein neuartiges Sicherheitsparadigma: Unternehmen müssen in der Lage sein, ihre cloud-nativen Anwendungen schon ganz früh während ihrer Entwicklung bis hin zur Bereitstellung in der Produktion, über Multi-Cloud-Umgebungen hinweg und trotz eines sich ständig ändernden Technologie-Stacks zu schützen und zu sichern. 

Anzeige

Portworx, ein Unternehmen, das sich auf Container-Speicherung und Datenmanagement spezialisiert hat, führt seit 2016 jedes Jahr einen Container Adoption Survey aus. Die 2019er Umfrage, die zusammen mit Aqua durchgeführt wurde, „zeichnet ein Bild von unvermindertem Wachstum im Bereich der Containerisierung, gaben doch mittlerweile 87 % der Befragten an, dass sie mit Container-Technologien arbeiten, im Vergleich zu nur 55 % in 2017. Von denen, die Anwendungen in Containern nutzen, setzen diese 90 % in der Produktion ein, im Vergleich zu 84 % in 2018 und 67 % in 2017.“

Während die Portworx-Umfrage 2017 die persistente Speicherung noch als wichtigsten Hemmschuh für die Einführung von Container-Technologien ausmachte, schaffte es dieser Aspekt im letzten Jahr nicht unter die Top 3. 2019 wurden als die drei wichtigsten Herausforderungen die Datensicherheit, das Schwachstellen-Management und der Laufzeitschutz genannt.

Sicherheit in der DevOps-Welt

Doch selbst in diesem sich rasch wandelnden Sicherheitsumfeld setzen viele Unternehmen weiterhin auf herkömmliche Sicherheitstools, die häufig nicht mit der Geschwindigkeit, der Größe und der dynamischen Netzwerkumgebung von Containern Schritt halten können. Das Aufkommen neuartiger serverloser Funktionen verschärft das Problem zusätzlich, weil diese die Infrastruktur noch weiter abstrahieren, um eine einfache Ausführungsumgebung für Anwendungen und Microservices bieten zu können. Cyberkriminelle sind darauf aus, Schwachstellen im serverlosen Funktionscode auszunutzen oder machen sich schlecht konfigurierte Berechtigungen für Cloud-Infrastrukturen zu Nutze, um sich Zugang zu Services oder Netzwerken mit sensiblen Informationen zu verschaffen.

Die steigende Abhängigkeit von Open-Source-Anwendungen stellt eine weitere mögliche Sicherheitsschwachstelle dar. Programmcode wird nie ganz neu geschrieben, jeder bedient sich mittlerweile bei Komponenten auf GitHub oder anderen Open-Source-Projekten oder nutzt vorhandenen Code in Repositorys innerhalb oder außerhalb seines Unternehmens, möglicherweise ohne sich der Schwachstellen in der Codebasis bewusst zu sein. 

Denn in einer von DevOps dominierten Welt ist Geschwindigkeit das oberste Gebot. Die Produktivität steigt, aber mit ihr auch das Sicherheitsrisiko. Gestern noch wurde der Code an die Zielarchitektur angepasst, bevor er auf der von der IT vorgegebenen Standardbetriebsplattform in Produktion ging. Heutzutage stellen Unternehmen ihre in Containern entwickelten Anwendungen aus Gründen der Geschwindigkeit direkt in der Produktion bereit, verwalten sie mithilfe von Kubernetes und lassen sie irgendwo in der Cloud ausführen (gegebenenfalls immer noch am Standort, häufig jedoch über einen Public-Cloud-Service). Dieses Modell verlangt Entwicklern und dem operativen Team ein gesteigertes Sicherheitsbewusstsein ab, wobei die Sicherheit umfassend in den Software-Lebenszyklus integriert werden muss.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Umgang mit Multi-Cloud, Multi-Stack

Viele unserer Kunden experimentieren mit Technologien von verschiedenen Anbietern, die auf unterschiedlichen Cloud-Plattformen ausgeführt werden, und stellen Anwendungen sogar gleichzeitig auf mehreren Plattformen bereit. So halten sie sich die Option offen, entweder auf Kostenoptimierung zu setzen oder den Stack zu verwenden, der am besten zu einer bestimmten Anforderung passt, und verhindern gleichzeitig eine zu starke Bindung an einen Anbieter. Dies kann aber zu Problemen für Ihre Entwickler führen, insbesondere bei serverlosen Technologien, da sich die Standards in diesem Bereich gerade erst entwickeln. Gegen Experimente ist nichts einzuwenden, aber in der Produktion benötigen Sie eine Strategie, mit der Sie festlegen, welche Plattformen verwendet und wie die Sicherheitsrichtlinien für alle bereitgestellten Anwendungen unabhängig von Plattform oder Anbieter umgesetzt werden.  Eine einzige Sicherheitslösung, die alle Ihre Betriebsumgebungen durch einheitliche Richtlinien, Managementtools und Berichtsfunktionen unterstützt, kann dies ermöglichen.

Cloud-native Umgebungen besitzen eine Reihe von Eigenschaften, die es einfacher machen, sie zu schützen. Hierzu müssen Unternehmen eine neue Art von Sicherheitsmodell umsetzen, bei dem die Container-Images mitsamt ihrer Inhalte schon bei der Generierung geprüft werden und die Unveränderlichkeit der Workload zur Laufzeit garantiert wird, um Änderungen an den ausgeführten Workloads zu verhindern. Das Ergebnis? Eine stark kontrollierte Umgebung, die die Angriffsfläche erheblich reduziert, bevor eine Anwendung bereitgestellt wird, und die zur Laufzeit überwacht wird, sodass es vergleichsweise einfach ist, Anomalien mithilfe deterministischer Methoden zu erkennen und darauf zu reagieren.

Arne

Jacobsen

Director Sales EMEA

Aqua Security

Arne Jacobsen ist Director Sales EMEA bei Aqua Security. Arne Jacobsen ist für den Aufbau und die Entwicklung des Kundenstamms hauptsächlich im deutschsprachigen Markt zuständig. Arne Jacobsen verfügt über 20 Jahre Erfahrung in der IT- und Sicherheitsbranche und hatte verschiedene Managementpositionen bei Start-up-Unternehmen inne. Sein Schwerpunkt ist Cybersicherheit im
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.