BLOG

Konsistente Sicherheit in der Cloud erfordert Konsistenz

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 11. April 2019

In den vergangenen vier Jahren haben wir weltweit Teilnehmer zu den Herausforderungen befragt, denen sie auf ihrem Weg zu einem modernen Multi-Cloud-Betriebsmodell gegenüberstanden.

In den vergangenen drei Jahren wurde uns immer wieder gesagt, dass die größte Herausforderung darin liege, „einheitliche Sicherheit für alle Anwendungen“ zu gewährleisten. Ein Teil dieser Herausforderung ist sicherlich auf die Art und Weise zurückzuführen, wie Unternehmen – unbeabsichtigt – dazu gekommen sind, in einer Multi-Cloud-Realität zu operieren. Die meisten sind über Entwickler und Geschäftseinheiten darauf gestoßen, die die Cloud eingeführt haben, um „die Ineffizienzen der herkömmlichen IT zu umgehen“. Heute ist Multi-Cloud eine bewusste Entscheidung, die in erster Linie von der Art der eingesetzten Anwendung bestimmt wird.

Die Herausforderung, für alle diese Anwendungen eine einheitliche Sicherheit zu gewährleisten, bleibt jedoch bestehen. Einer der Übeltäter scheint darin zu liegen, dass sich Anwendungsdienste nicht immer zusammen mit den Anwendungen bewegen, die sie schützen. Beachten Sie diese Punkte aus unserem State of Application Services 2019 :

Unterschiede zwischen der Bereitstellung von App-Diensten vor Ort und in der öffentlichen Cloud führen zu Sicherheitsbedenken. Während die durchschnittliche Anzahl der insgesamt genutzten Anwendungsdienste bei 14 liegt, sinkt diese Zahl bei öffentlichen Cloud-Bereitstellungen auf die Hälfte. Dies bedeutet, dass Unternehmen zwar Apps in der öffentlichen Cloud bereitstellen, die Bereitstellung von Anwendungsdiensten jedoch nicht im gleichen Maße erfolgt.

Während 66 % der Befragten eine WAF einsetzen, geben nur 33 % an, dass sie eine WAF für Produktionsanwendungen verwenden, die in einer öffentlichen Cloud eingesetzt werden. Auch bei anderen sicherheitsrelevanten Anwendungsdiensten ist in der öffentlichen Cloud ein Nutzungsrückgang zu verzeichnen. Das ist beunruhigend, denn ohne die Anwendungsdienste, die diese durchsetzen, ist es nahezu unmöglich, eine Parität der Sicherheitsrichtlinien zu erreichen.

Fast die Hälfte der Unternehmen (48 %), die eine Initiative zur digitalen Transformation verfolgen, ist mit der Schwierigkeit konfrontiert, eine einheitliche Sicherheit für Anwendungen zu erreichen, die auf mehrere Cloud-Plattformen verteilt sind. 45 % geben an, dass der Schutz ihrer Anwendungen vor bestehenden und neuen Bedrohungen ihre größte Herausforderung darstellt.

Dabei sind drei Dinge zu beachten. Erstens mangelt es an der Bereitstellung sicherheitsrelevanter Anwendungsservices mit den Anwendungen, die sie in der öffentlichen Cloud schützen sollen. Damit ist die Antwort auf die Frage von 45 % der Befragten, ob sie ihre Apps vor bestehenden und neuen Bedrohungen schützen können, relativ einfach: Beginnen Sie mit der Bereitstellung von Sicherheitsanwendungsdiensten zum Schutz dieser Apps. Auch wenn sie nicht narrensicher sind, können moderne Anwendungsdienste wie erweiterte Web Application Firewalls, verhaltensbasierter DDoS-Schutz und Bot-Abwehr das Risiko, von einer aufkommenden Bedrohung überrascht zu werden, drastisch senken. Angesichts der Geschwindigkeit, mit der derartige Dienste heutzutage bereitgestellt werden, scheint es ein guter Ansatz zur Bewältigung der Herausforderung konsistenter Sicherheit zu sein, Konsistenz bei den bereitgestellten Anwendungsdiensten zu gewährleisten, um Apps in jeder Umgebung zu schützen.

Bereitstellungsraten für Sicherheitsanwendungsdienste

Zweitens – und das ist vielleicht weniger offensichtlich – geht die Konsistenz über den Anwendungsdienst hinaus. Zwar gibt es viele Web Application Firewalls, doch ihre Fähigkeiten sind nicht unbedingt gleich. Selbst wenn man von konsistenten Funktionen ausgeht, ist der Versuch, Richtlinien von ON-PREM WAF A in etwas umzuwandeln, das von OFF-PREM WAF B verwendet werden kann, eine ziemlich monumentale Aufgabe. Das ist, als würde man jemandem eine Anleitung in einer Sprache geben, die er nicht versteht. Daher muss es zunächst übersetzt werden, und das kostet Zeit – und Fachwissen in beiden Sprachen. Es ist also tatsächlich einfacher, die Sicherheitsrichtlinie einheitlich auf alle Anwendungen anzuwenden, wenn Sie sich für diesen Anwendungsdienst auf einen einzigen Anbieter festlegen. Ein Dienst, eine Sprache, eine Richtlinie.

Es ist schon ein wenig ironisch, dass die meisten Befragten in der Kategorie Anwendungsservices keine Anwendung ohne Sicherheit bereitstellen würden . Doch ein genauerer Blick auf die Bereitstellungsdetails zeigt, dass dies vielleicht nicht ganz stimmt. Zumindest in der Cloud scheint die Sicherheit häufiger beiseite geschoben zu werden, als es sein sollte.

Und schließlich – und das ist am wenigsten offensichtlich – dürfen wir den betrieblichen Aufwand nicht außer Acht lassen, der durch die manuelle Verwaltung von Anwendungsdiensten über mehrere Clouds und Rechenzentren hinweg entsteht. Wenn die Dinge über mehrere Standorte verteilt sind, ist es wesentlich schwieriger, sie manuell zu verwalten – selbst dieselben Dinge. Wenn Sie Richtlinien wie Codeartefakte behandeln und bei der Bereitstellung der Dienste und der zugehörigen Richtlinien auf Automatisierung achten, können Sie Fehler, Irrtümer und Auslassungen reduzieren, die andernfalls auftreten könnten. Bei Automatisierung und Orchestrierung wird Konsistenz durch die Natur von Skripten und Code erreicht, die in der Lage sind, immer wieder dasselbe Ergebnis zu reproduzieren. Der antike griechische Philosoph Aristoteles sagte: „Wir sind, was wir wiederholt tun.“ Exzellenz ist also keine Handlung, sondern eine Gewohnheit.“ Automatisierung und Orchestrierung sollten daher als wichtige Gewohnheit (Praxis) betrachtet werden, die auf der Suche nach Multi-Cloud-Konsistenz erworben werden müssen.

Um in einer Multi-Cloud-Welt konsistente Sicherheit für alle Anwendungen zu erreichen, ist Konsistenz erforderlich:

  1. Konsistenz bei der Bereitstellung von Anwendungsdiensten, die Anwendungen schützen und verteidigen
  2. Konsistenz der Anwendungsdienstfunktionen in allen Umgebungen
  3. Der Einsatz von Automatisierung und Orchestrierung, um eine schnelle, häufige und konsistente Bereitstellung von Anwendungsdiensten und Sicherheitsrichtlinien zu ermöglichen

Einheitliche Sicherheit erfordert einheitliches Verhalten, einheitliche Vorgehensweisen und einheitliche Werkzeuge. Durch die Kombination aller drei Maßnahmen können Organisationen Konsistenz in ihren Sicherheitspraktiken erreichen, indem sie sich angewöhnen, sowohl Anwendungen als auch die Unternehmen und Verbraucher zu schützen, die auf sie angewiesen sind.