Sicherheit erfordert einen neuen Development-Ansatz. Zero-Trust ist der Schlüssel zum unsichtbaren Netz

Die Entwicklung wird ständig dazu gedrängt, ihre Prozesse zu beschleunigen, während das Gebot der Sicherheit die Dinge unweigerlich verlangsamt. Um beides gleichzeitig zu realisieren, ist es notwendig, die Sicherheit komplett neu zu denken.

Im Cloud-nativen Kontext wird das Netzwerk durch eine Reihe von Mikroverbindungen innerhalb von Anwendungen definiert-

(Bild: geralt / Pixabay )

In der IT-Branche haben sich in Reaktion auf die Notwendigkeit, die IT-Kultur und -Organisation zu verändern, verschiedene Bewegungen wie DevOps und DevSecOps herausgebildet. Sie zielen darauf ab, Silos aufzubrechen und die Integration von Menschen und Fähigkeiten zu ermöglichen, die zur Beschleunigung von Agilität und Transformation erforderlich sind.

Nun wollen vermutlich die wenigsten einen noch sperrigeren Begriff wie DevSecNetOps prägen. Dennoch steht die Frage im Raum, wie sich sicherstellen lässt, dass die ständig wachsende Schnelligkeit der Anwendungsentwicklung und die immer größer werdende Bedrohung durch Cyberangriffe nicht permanent gegenläufige Kräfte darstellen.

Die daraus resultierende Spannung ist allerdings nur dann zwangsläufig und unausweichlich, wenn Vernetzung und Sicherheit weiterhin als getrennte Disziplinen betrachtet werden. Es gilt, die Art und Weise zu ändern, in der Anwendungen entwickelt werden, die von vornherein sicher sind und nicht nachträglich gesichert werden müssen.

Ein Haus bauen, Schlösser anbringen, einen Zaun errichten: Die alte Sichtweise auf die Welt war sinnvoll, als Unternehmensanwendungen noch einigermaßen isoliert im Rechenzentrum liefen. In der Cloud-Ära mit verteilten Anwendungen, virtualisierter Verarbeitung und Speicherung sowie der Notwendigkeit, neben den Angestellten auch Kunden und Partner mit dem Netz zu verbinden, gilt das nicht mehr ohne weiteres.

Die Grenzen der Sicherheitsmaßnahmen sind über die Jahre verschwommen und haben sich teils sogar vollständig aufgelöst. Das Netzwerk hat keine feste Abgrenzung mehr, sondern befindet sich in ständiger Entwicklung – manche würden sogar sagen, in ständigem Umbruch.

Neue Denkweise gefordert

Erforderlich ist also eine neue Architektur, ein neuer Baustil, bei dem Sicherheit und Cloud-native Netzwerkfunktionen in die Anwendungen und den Entwicklungsprozess integriert werden. Dabei geht es ebenso sehr um eine neue Denkweise wie um eine neue Methodik. Solange darüber nachgedacht wird, die Netzwerke zu modernisieren oder sie einfach in die Cloud zu verlagern, werden die gleichen Probleme wie verlängerte Entwicklungszeiten und unsichere Anwendungen auftreten.

Vielleicht ist es ein besserer Weg, die Netzwerke nicht zu modernisieren, sondern sie gleich abzuschaffen. Traditionell wird darüber nachgedacht, wie das Netz vor Angriffen geschützt oder die Angriffsfläche minimiert werden können, aber was wäre, wenn sich die Angriffsfläche auf Null reduzieren ließe? Was wäre, wenn man das Netzwerk unsichtbar machen könnte?

Aufgabe der IT-Industrie ist es, programmierbare, sichere Anwendungsverbindungen bereitzustellen, die einen vertrauenswürdigen Netzwerkzugang ermöglichen. Wenn Identität, Authentifizierung, Autorisierung, dediziertes Routing und Mikro-Segmentierung auf Anwendungsebene gehandhabt werden, sind Sie in puncto Sicherheit nicht mehr von der zugrunde liegenden Netzwerkinfrastruktur abhängig.

Das Netzwerk ist nicht mehr eine feste Einheit wie ein Unternehmens-WAN oder VPN, sondern vielmehr eine Reihe von Mikroverbindungen innerhalb von Anwendungen, die jeweils für spezifische Zugriffsanforderungen programmiert werden können.

Für Unternehmen und unabhängige Softwareanbieter liegen die Vorteile dieses Ansatzes in der geringeren Komplexität, der höheren Geschwindigkeit und der größeren Flexibilität. Die vielen Übergaben zwischen den Teams entfallen. DevOps muss nicht mehr zwischen der Verzögerung der Bereitstellung und der Sicherung der Anwendung wählen. Auch die Erfahrung für Endbenutzer und Betreiber wird verbessert.

DevOps, SecOps und NetOps zusammenbringen

Kommerzielle Softwareentwickler stehen ebenfalls unter dem Druck, ihre Produkte schnell auf den Markt zu bringen, aber sie müssen die Notwendigkeit der Geschwindigkeit gegen das Risiko abwägen, dass ihre Produkte zum Einfallstor für Cyberkriminelle werden. Niemand möchte das nächste SolarWinds sein, dessen Orion-Plattform bei dem berüchtigten Hack im Jahr 2020 als Verbreitungsweg für Malware genutzt wurde.

Die Cloud hat dazu geführt, dass in den Unternehmen immer mehr nicht genehmigte Software eingesetzt wird. Nach Angaben von Cisco sind bis zu 80 Prozent der Software nicht von der IT-Abteilung zur Nutzung freigegeben. Es gibt weitere Schätzungen über das Ausmaß der Cloud-gestützten Schatten-IT: Von den mehr als 1.000 Cloud-Anwendungen, die ein durchschnittliches Unternehmen nutzt, sind demnach nur etwa zehn Prozent auf dem Radar der IT-Abteilung.

Hinter diesen Statistiken verbirgt sich die Tatsache, dass viele dieser Anwendungen unzureichend gesichert sind. Nach Angaben von McAfee erfüllen weniger als zehn Prozent der Cloud-basierten Anwendungen die grundlegenden Anforderungen an Sicherheit und Datenschutz. Dieselbe Quelle behauptet, dass ein durchschnittliches Unternehmen jeden Monat 20 Sicherheitsverstöße im Zusammenhang mit der Cloud erleidet. Im vergangenen Jahr gaben 86 Prozent der Unternehmen zu, dass sie durch Cybersecurity-Angriffe gefährdet waren.

Unternehmen können die Schatten-IT nicht beseitigen, aber unabhängige Software-Hersteller (ISVs) können deren Auswirkungen verringern, indem sie ihr eigenes Haus in Ordnung bringen. Wenn Anwender auf die wachsende Bedrohung ihrer Unternehmen reagieren, sollten sie sich vor Augen halten, dass die Sicherheit von Drittanbieteranwendungen ganz oben auf der Liste der Kaufkriterien stehen muss.

Nach mehr als einem Jahrzehnt in der Cloud-Ära ist es immer noch das Bestreben, alte IT-Konzepte auf das neue Modell abzubilden. Dies ist zum Scheitern verurteilt, wenn nicht die Art und Weise, wie Anwendungen entwickeln werden, geändert wird. Das bedeutet, dass Schluss damit sein muss, die Anwendung und die Infrastruktur als unterschiedliche Bereiche zu betrachten.

Brent Doncaster
(Bild: NetFoundry)

 

Die organisatorische Antwort muss sein, die Fähigkeiten von DevOps, SecOps und NetOps zusammenzubringen und als ein einziges Team zu arbeiten. Die technische Antwort muss darin bestehen, Anwendungen per Design sicher zu machen.

* Brent Doncaster ist Senior Director Marketing bei NetFoundry.

Original post here.