Per-App-Architekturen schützen Apps zu Hause und in der Cloud

Denn ein fauler Apfel muss nicht den ganzen Korb verderben.

Bild: Ein fauler Apfel, BobbyBoggs182

Das Rechenzentrum wird durch die digitale Transformation zum Wandel getrieben. Cloud, Container und katastrophale Sicherheitsverletzungen zwingen dazu, den Fokus auf Veränderungen zu richten, die eher früher als später erfolgen. Ein großer Teil des Augenmerks liegt auf den Auswirkungen der kontinuierlichen Bereitstellung und der Bereitstellungen einzelner Apps, die herkömmliche Bereitstellungspläne völlig durcheinanderbringen können. Der Versuch, traditionelle und moderne Zeitpläne aufeinander abzustimmen, wird mit Sicherheit dazu führen, dass sogar Mathematiker, die mit dem Lösen von Josephus-ähnlichen Zählproblemen vertraut sind, die Hände über dem Kopf zusammenschlagen und dem Versuch abschwören.

Wenn die Vorteile der Implementierung eines Pro-App-Architekturansatzes für Anwendungsdienste und -Infrastruktur im Hinblick auf die kontinuierliche Bereitstellung für Sie nicht ausreichen, um diesen Schritt zu gehen, bedenken Sie, dass dies auch erhebliche Sicherheitsvorteile mit sich bringt.

Stellen Sie sich das Rechenzentrum und seinen Sicherheitsbereich wie ein Fass vor und füllen Sie es mit Äpfeln (von denen jeder eine der Hunderten von Apps darstellt, die Sie bereitgestellt haben). Dann werden Sie feststellen, dass ein Apfel viele andere berührt. Nicht alle, aber einige. Und wenn einer dieser Äpfel schlecht wird, breitet sich die Krankheit auf alle aus, die ihn berühren. Die wiederum berühren sich wieder, die wiederum berühren sich wieder, und so weiter und so fort, bis das ganze Fass verfault ist.

Wenn der Prozess in einem Rechenzentrum nur genauso langsam wäre, wenn ein Apfel (eine App) kaputt geht. Doch dank der digitalen Geschwindigkeit verbreitet sich der Verderb über das Netzwerk viel schneller zu anderen Apps als die Äpfel im Sprichwort, die uns vor dem Risiko warnen.

Dies ist einer der besten Sicherheitsgründe für die Einführung einer Pro-App-Architektur – selbst wenn Sie keine Pro-App-Bereitstellungspläne verwenden (oder verwenden möchten).

Eine Pro-App-Architektur mit geringerem Risiko

Die Einführung einer Architektur pro App ist so, als würde man jeden Apfel einzeln verpacken, bevor man ihn in den Korb wirft. Selbst wenn es schlecht wird, ist es von den anderen, mit denen es in Kontakt kommt, isoliert und verhindert, dass auch diese sich anstecken. Zwar würden wir uns sicherlich über eine Welt ohne Risiko freuen, doch die meisten von uns leben nicht in einem Land der Regenbögen und Einhörner und sind sich bewusst, dass in einer vernetzten Welt immer Risiken bestehen und unser Ziel darin besteht, diese so weit wie möglich zu minimieren.

Durch den Einsatz einer Pro-App-Architektur können wir dieses Ziel erreichen, indem wir den Explosionsradius einer bestimmten Anwendung für so viele Bedrohungen wie möglich auf sich selbst beschränken. 

Ein Pro-App-Ansatz im Rechenzentrum ermöglicht die Bereitstellung einer Vielzahl anwendungsspezifischer Sicherheitsdienste, die das Risiko durch Bots, Diebstahl von Anmeldeinformationen, Credential Stuffing, DDoS-Angriffe auf Anwendungsebene (wie GET-, PUSH- und POST-Floods) und die bekannten OWASP Top Ten-Schwachstellen verringern sollen.  

Alert Logic nennt dies „Segmentierung auf Anwendungsebene“ und weist darauf hin, dass es sich in der Cloud schnell zur Best Practice entwickelt:

„Das signifikante Muster, das wir bei öffentlichen Cloud-Installationen immer wieder beobachten, ist die Segmentierung der Infrastruktur auf Anwendungsebene. Die besten Cloud-Administratoren, die wir kennen, tendieren dazu, jede Anwendung in ihrer eigenen VPC (Virtual Private Cloud) zu segmentieren, was den Explosionsradius jedes einzelnen Verstoßes drastisch reduziert. Sogar die kleinsten WordPress- oder Drupal-Apps erhalten ihr eigenes VPC, sodass Angreifer weniger Möglichkeiten haben, sich seitlich auszubreiten oder Angriffe zu starten, die sich schnell zu unternehmensweiten Katastrophen ausweiten können.“

Dieser Ansatz funktioniert auch im Rechenzentrum gut und ist ebenso wichtig (vielleicht sogar noch wichtiger), um Apps im Falle eines erfolgreichen Einbruchs vor lateralen Bewegungen zu schützen.

Es mag ironisch erscheinen, dass es bei einer Architektur pro App nicht so sehr darum geht, alle anderen Apps zu schützen, die Sie bereitgestellt haben, sondern jede einzelne App. Aber dieser Ansatz zwingt dazu, sich auf die Sicherung jeder einzelnen App zu konzentrieren, im Bewusstsein, dass sie einen potenziellen Einstiegspunkt darstellt und dass jede andere App (im Inneren) ein Angreifer sein könnte.

Ein Pro-App-Ansatz funktioniert sogar noch besser mit Cloud-fähigen Anwendungsdiensten, die sowohl in der Cloud (oder mehreren Clouds) als auch zu Hause im Rechenzentrum bereitgestellt werden können. Die Standardisierung einer Anwendungsdienstlösung bedeutet Richtlinienparität, die die gewünschte durchgängige Sicherheit gewährleistet, wenn Unternehmen im Rahmen ihrer digitalen Transformationsbemühungen öffentliche Clouds besiedeln.

Unabhängig davon, ob Sie sich in der Cloud (oder mehreren Clouds) befinden oder zu Hause im Rechenzentrum bleiben: Eine Architektur pro App ist ein für alle Seiten vorteilhafter Sicherheitsansatz, der das Risiko für einzelne Apps verringern kann, gleichzeitig das gesamte System schützt und die Wettbewerbsfähigkeit des Unternehmens in der digitalen Wirtschaft sichert.