Mit Hybrid- oder Multi-Clouds arbeiten Unternehmen viel flexibler, können schneller reagieren und neue Geschäftsmodelle aufsetzen. Der Nachteil: Die Aufgaben der IT-Abteilungen werden komplexer, oft geht die Transparenz verloren. Warum Unternehmen umdenken und auf eine Cloud Native Security setzen müssen, wenn sie Sicherheit garantieren und Compliance-Vorgaben erfüllen möchten – und wieso auch die DevOps-Teams davon profitieren.
Unternehmen werden immer agiler, wie die Management- und Technologieberatung BearingPoint jüngst herausgefunden hat. Gut so. Wie wichtig ein höheres Maß an Flexibilität für den Unternehmenserfolg ist, zeigt sich aktuell in der Pandemie. Wenn Sie nun ein leises „Aber“ heraushören, besitzen Sie ein sehr feines Gespür. Tatsächlich fürchte ich, dass man momentan vielerorts das Thema Sicherheit aus den Augen verliert. Ich kann’s verstehen, denn vielen Unternehmen fehlt schlicht der Durchblick in ihren Multi-Cloud-Landschaften. Das Management setzt auf herkömmliche Tools, um sich für Bedrohungen aus dem Netz zu wappnen. Aber wer mit Infrastructure-as-a-Service, Containern oder virtuellen Maschinen wendiger werden will, braucht ein modernes Vulnerability Management und eine Cloud Native Security – und damit ein Sicherheitskonzept, das fürs Cloud Computing entwickelt wurde. Moderne Cloud-Architekturen und DevOps stellen nun mal die traditionellen Konzepte für Security, Governance und Compliance auf den Kopf. Das Ziel muss daher eine automatisierte, eine Managed Sicherheit sein.
Laut einer Studie von Palo Alto Networks verändert sich in 80 Prozent der befragten Unternehmen laufend die Cloud-Infrastruktur. Zur Private kam die Public Cloud, Hybrid und Multi Cloud sind die nächsten Etappen. Das heißt aber auch: Die Gefahren im virtuellen Raum sind vielfältig und nehmen kontinuierlich zu, manuelle Prozesse halten mit dieser Entwicklung nicht mehr Schritt. Das lässt sich leicht mit einer unvollständigen Liste all jener Bedrohungen veranschaulichen, denen sich die Unternehmen in der Cloud ausgesetzt sehen:
• Schadsoftware (Malware)
• Anwendungsschwachstellen (Vulnerabilities)
• zu schwache oder nicht funktionierende Authentifizierung
• Insiderbedrohungen
• unsichere APIs
• Fehlkonfigurationen
Kein Wunder, dass die Aufgaben von IT-Abteilungen in den vergangenen Jahren stetig zugenommen haben. Cloud Native Security kann die Teams nun unterstützen. In mehrfacher Hinsicht. Solche Lösungen reagieren automatisiert auf Malware und Threats und behalten den Überblick über alle Assets, Workloads und Daten. Sie stellen mit ihren Analysen sicher, dass das Unternehmen alle Compliance- und Governance-Richtlinien einhält. Vorausgesetzt, Unternehmen beziehen auch die Entwicklungsabteilungen in ihr Konzept für Security-Konzept mit ein.
Wer agil unterwegs sein möchte, stellt seinen DevOps-Teams eine flexible Infrastruktur zur Verfügung. Und braucht ein neues Sicherheitsbewusstsein: Security First muss bereits für die Entwicklung neuer Software und dann über den gesamten Lebenszyklus gelten. Das bedeutet: Unternehmen müssen dafür sorgen, dass den genutzten Infrastrukturen und Tools die entsprechenden Schutzmaßnahmen automatisiert zur Verfügung stehen. Nur wenn Security-Tests automatisiert in jeder Phase des Entwicklungsprozesses ablaufen, lassen sich Schwachstellen frühzeitig beseitigen und neue Cloud-Technologien schnell und sicher integrieren. Und böse Überraschungen – sprich: Sicherheits- und Compliance-Risiken – von vornherein vermeiden. Glauben Sie mir, mit diesem Sicherheitskonzept verbessert sich auch automatisch die Stimmung zwischen Ihren Sicherheits- und DevOps-Teams. Achten Sie bei der Wahl Ihrer Cloud Native Security-Lösung unbedingt darauf, ob sie nach dem „Shift Left“-Prinzip arbeitet. Dann behebt sie automatisiert Sicherheitsschwachstellen und Fehlkonfigurationen, die selbst den versiertesten Entwicklerinnen und Entwicklern unterlaufen können. Das minimiert die Risiken – ohne die Agilität der Teams zu stören.
Laut der Studie von Palo Alto Networks setzen 57 Prozent der befragten Unternehmen sechs oder mehr Sicherheitslösungen ein. Viele hätten lieber eine einzige Lösung, die alles abdeckt. Aber welche Anforderungen muss ein Cloud Native Angebot eigentlich erfüllen?
• Konzipieren Sie Ihre Cloud Native Security nicht nur für die Public Cloud, denn die Zukunft heißt Multi Cloud.
• Achten Sie bei der Wahl Ihrer Sicherheitslösung darauf, dass sie Transparenz für alle Ihre Cloud-Ressourcen bietet.
• Klären Sie, ob das System aktuell ist, was die Themen Sicherheit, Governance und Compliance betrifft.
• Ihre Lösung sollte über alle Risiken detailliert berichten – einschließlich Benutzerzuordnung und die betroffene Ressource.
• Schwachstellen-Management und Sicherheit auf Anwendungsebene sind Pflicht.
• Das System muss Anomalien im Netzwerk erkennen.
• Das Angebot muss Identitäts- und Zugriffsmanagement (IAM) umfassen.
Eine zeitgemäße Sicherheitslösung unterstützt Sie immer in zwei Richtungen: Dank eines Cloud Security Posture Managements (CSPM) wissen Sie, welche Ressourcen an welcher Stelle in Ihren Clouds liegen. Es schützt Ihre Daten, bietet automatisierten Schutz für Governance und Compliance. Achten Sie aber darauf, dass auch Threat Detection und Automated Response dazugehören. Ihre Sicherheitslösung sollte zudem die cloudbasierten Workloads und Ihre Betriebssystemdaten absichern und Ihre Container, serverlosen Funktionen und virtuellen Maschinen schützen. Fachleute sprechen hier von einer Cloud Work Protection Platform (CWPP).
Wir wissen, dass unsere Kunden konsistente Sicherheit über alle Clouds hinweg benötigen. Wir nennen das Security First – und sie sollte überall gelten – unabhängig davon, wie viele Security- und Cloud-Fachkräfte die Unternehmen beschäftigen. Damit Sie in puncto Security immer einen Schritt voraus sind, bietet T-Systems Ihnen einen gemanagten Sicherheits- und Compliance-Service für den gesamten Technologie-Stack und für alle Ihre Cloud-Anwendungen.
