Geschwindigkeit vs. Sicherheit: Schutz moderner Apps und APIs im Tempo moderner Unternehmen

Das Tempo der modernen Geschäftswelt führt zu einer Kluft zwischen der Art und Weise, wie Anwendungen entwickelt werden, und der Art und Weise, wie sie geschützt werden. Durch die Nutzung moderner Infrastrukturen und Anwendungen können Unternehmen wettbewerbsfähiger werden und sich schneller anpassen. Sie könnten jedoch auch die Sicherheit gefährden.

Von monolithischen Apps zu Microservices

Heute sind 98 % der Unternehmen für die Durchführung oder Unterstützung ihrer Geschäfte auf Anwendungen angewiesen . Laut unserer jüngsten Umfrage in der Open-Source-Community von NGINX ist die Zahl der mit Microservices erstellten Apps von 40 % im Jahr 2019 auf 60 % im Jahr 2020 gestiegen, wobei 54 % der Unternehmen in einigen oder allen ihrer Apps Microservices verwenden. Bis 2022 werden voraussichtlich 90 % aller neuen Apps auf Microservices-Architekturen basieren . Diese Trends unterstreichen nicht nur die Bedeutung moderner Anwendungen für Unternehmen, sondern auch, wie wertvoll eine schnelle und flexible Bereitstellung ist. 

Immer mehr Unternehmen gehen wahrscheinlich denselben Weg: Sie migrieren von alten monolithischen Apps zu Cloud-nativen Technologien und implementieren gleichzeitig DevOps-Prinzipien. Und das aus gutem Grund.

Kunden, Partner und Mitarbeiter verlangen nicht nur mehr von Ihren technologiebasierten Diensten – sie erwarten es. Die Märkte warten nicht darauf, dass sich Unternehmen anpassen. Sie vergessen sie einfach.

Aus diesem Grund sind Unternehmen gezwungen, Maßnahmen zu ergreifen und sicherzustellen, dass ihre Anwendungen das bestmögliche Erlebnis bieten. Um diese Erfahrungen zu vermitteln, ist jedoch ein anderer Ansatz bei der Anwendungsentwicklung erforderlich. Es erfordert einen schnelleren, iterativeren Ansatz, der den Unternehmen die Flexibilität bietet, die sie brauchen, um wettbewerbsfähig zu bleiben.

DevOps, Microservices und Container können dazu beitragen, diese so begehrte Anwendungsagilität zu erreichen, indem altmodische Ansätze durch moderne Bereitstellungsmethoden ersetzt werden. Aber was ist mit anderen wichtigen Überlegungen wie dem Schutz dieser Apps? Können die Sicherheitsrichtlinien mit diesem Tempo mithalten?

Eine neue Frontlinie im Kampf gegen Sicherheitsverletzungen

Hacker starten durchschnittlich 2.244 Angriffe pro Tag. Das ist einer alle 39 Sekunden . Und es genügt eine einzige erfolgreiche böswillige Handlung, um den finanziellen Schaden und den Ruf eines Unternehmens zu schädigen oder es sogar völlig zu zerstören. Es mag drastisch klingen, aber das sind die Risiken, mit denen Unternehmen heute konfrontiert sind. Die durchschnittlichen Kosten eines Datenschutzverstoßes beliefen sich im Jahr 2020 auf 3,86 Millionen US-Dollar pro Unternehmen. Und im Durchschnitt sind nur 5 % der Apps im Portfolio eines Unternehmens ausreichend geschützt.

Noch beunruhigender ist, dass die Angriffe viel ausgefeilter und umfassender sind. Hacker haben es nicht mehr nur auf Code abgesehen. 40 % der Angriffe auf Webanwendungen erfolgen über APIs (eine Zahl, die bis 2021 voraussichtlich auf 90 % ansteigen wird). Höhere Mauern bieten in modernen Umgebungen einfach nicht den erforderlichen Schutz. Kombiniert man diese erhöhte Bedrohungsstufe mit schnelleren und häufigeren Veröffentlichungszyklen, bei denen Sicherheitslücken leicht durch das Netz schlüpfen können, kann dies schnell zu einem Rezept für eine Katastrophe werden.

Abwägung von Sicherheitsanforderungen und Liefergeschwindigkeit

Keine Organisation möchte die Agilität einschränken oder Innovationen begrenzen. Ebenso wenig sind Unternehmen bereit, ihre eigenen Daten oder die ihrer Kunden einem Risiko auszusetzen. Da jedoch die Anforderungen moderner Unternehmen steigen und zur Wahrung ihres Wettbewerbsvorteils die Entwicklung moderner Anwendungen erforderlich ist, sind Unternehmen gezwungen, sich zwischen beiden Möglichkeiten zu entscheiden. Entweder Sie gehen schnell auf den Markt und setzen sich einem potenziellen Risiko aus, oder Sie agieren langsam und auf Nummer sicher. So sollte es nicht sein.

Während früher Sicherheitsrichtlinien in den letzten Phasen einer Veröffentlichung angewendet wurden, ist dies aufgrund der Geschwindigkeit der Bereitstellungen heute fast unmöglich. Angesichts der Tatsache, dass auf jeden Sicherheitsexperten schätzungsweise 500 Softwareentwickler kommen, stehen die Chancen für den App-Schutz nicht gerade gut.

Dies beeinträchtigt die Fähigkeit, robuste und konsistente Sicherheit über Anwendungsarchitekturen und Infrastrukturen hinweg bereitzustellen, und es gibt keinen bestimmten Schuldigen. Unternehmensleiter sind sich der Bedeutung von Sicherheit bewusst, wissen aber auch, dass sie ihre Apps schnell auf den Markt bringen müssen. DevOps-Teams ärgern sich oft über die Verlangsamung der Bereitstellung durch SecOps. Gleichzeitig beklagen SecOps häufig den Mangel an Sicherheitskontrollen, die DevOps bietet. Tatsächlich erachten 48 % der technischen Fachleute die Sicherheit als großes Hindernis für die schnelle Bereitstellung von Software.

Auf der Suche nach einfacher Sicherheit

Damit Unternehmen Innovationen vorantreiben und flexibel bleiben können, ist klar, dass die Effektivität der DevOps-Automatisierung und die Einfachheit des „Einmal erstellen, überall ausführen“-Prinzips von entscheidender Bedeutung sind. Was wäre, wenn der Ansatz „Einmal erstellen, überall anwenden“ auf Sicherheitsrichtlinien angewendet werden könnte? Um flexibel und sicher vorgehen zu können, müssen Unternehmen einen Weg finden, die Sicherheit in den Lebenszyklus einer Anwendung zu integrieren. Sie dürfen sie nicht erst am Ende der Entwicklung anwenden oder versuchen, sie mit Add-Ons zu beheben. Sicherheit und App-Entwicklung dürfen nicht einfach nebeneinander bestehen, sondern müssen eins werden.

Das Beste aus beiden Welten

Gibt es also eine Möglichkeit, die Utopie von DevSecOps zu verwirklichen? Was würde es für den Schutz und die Release-Geschwindigkeit bedeuten, wenn Sie SecOps-Anwendungssicherheitsrichtlinien reibungslos in DevOps implementieren könnten?

Die erste erforderliche Änderung betrifft die Denkweise. Altmodisches Denken hat in einer modernen Anwendungsentwicklungsumgebung keinen Platz. Alle Beteiligten sollten sich mit der Idee der App-Sicherung auseinandersetzen und sie nicht als eine Hürde betrachten, die es zu überwinden gilt. Alle Teams sollten am selben Strang ziehen und auf das gemeinsame Ziel hinarbeiten, sichere und qualitativ hochwertige Anwendungen schnell bereitzustellen.

Integrierte Sicherheit muss ein Standardbestandteil des Entwicklungsprozesses werden. Die hierfür erforderliche Geschwindigkeit kann auf verschiedene Weise erreicht werden. Eine der wichtigsten Möglichkeiten ist die Automatisierung der Richtlinienerstellung. Darüber hinaus ist eine einfache Sicherheitslösung erforderlich, die die Einschränkungen von „Checkbox“-Web-Application-Firewalls überwindet . Es muss die echten Sicherheitsherausforderungen moderner DevOps-Umgebungen bewältigen, indem es leistungsstarke, skalierbare Sicherheit mit konsistenten Kontrollen für Webanwendungen, Microservices, Container und APIs bietet. Es sollte weniger Fehlalarme auslösen und – ganz entscheidend – schneller sein als andere Lösungen. Eine solche Lösung sollte CI/CD-freundlich sein und genehmigte Sicherheitskontrollen zentral verwalten und automatisieren, um Engpässe im Arbeitsablauf zu beseitigen und „Shift-Left“-Entwicklungsinitiativen zu unterstützen. Es sollte außerdem von einer erfahrenen Organisation unterstützt werden und die Sichtbarkeit verbessern und gleichzeitig die Leistung optimieren.

Wenn das oben Genannte erreicht werden kann, können die Reibungen zwischen DevOps und SecOps beseitigt werden und der Kampf zwischen schneller Bereitstellung und Sicherheit wird zu einem vergessenen Thema. Durch die Kombination der richtigen Tools mit einer wirklich kollaborativen Entwicklungskultur ist es besser denn je möglich, leistungsstarken, konsistenten Schutz zu bieten, der mit dem Tempo der modernen App-Entwicklung Schritt hält.