Wir müssen unser Sicherheitsmodell komplett umkrempeln

Es ist eine Anwendungswelt. Das klingt zwar langsam abgedroschen und klischeehaft, ist aber dennoch wahr. Wenn es um Sicherheit geht, bedeutet das, dass unser Fokus zunächst bei der Anwendung beginnen und sich dann zum Benutzer vorarbeiten sollte.

Aber so bauen wir heute keine Sicherheitsarchitekturen mehr.

Heute versuchen wir beim Aufbau unserer Sicherheitsarchitekturen, eine undurchdringliche (Fire-)Wall um den Perimeter zu errichten. Je weiter wir uns zur Anwendung vorarbeiten, desto weniger granular werden die Sicherheitsgräben, die wir bauen, bis wir schließlich bei der App ankommen und praktisch nichts mehr übrig ist. Unsere anwendungsaffinste Sicherheit ist am weitesten von der App entfernt, die sie schützen muss, und nicht umgekehrt. Wir versuchen daher, am Rand des Netzwerks massiv zu skalieren (wo die teuren hardwarebasierten Geräte erforderlich sind, um die erforderliche Bandbreite und Portdichte zu unterstützen), anstatt bescheidener näher an der App zu skalieren, wo weniger teure, einfacher zu verwaltende Software und virtualisierte „Geräte“ einfacher platziert werden könnten.

Wir müssen diese Architektur umdrehen und die Sicherheit überarbeiten, damit sie besser zu den heutigen Anwendungs- und Geschäftsmodellen passt. 

Wir müssen aufhören, im Unternehmensbereich „anwendungsbewusst“ zu sein, um die Sicherheitsinfrastruktur besser skalieren und daraus einen Nutzen ziehen zu können.  Wir müssen aufhören, so anwendungsagnostisch und nah an der App zu sein und anfangen, alles nach links zu verlagern, in Richtung Entwicklung und Betrieb und einem Softwaremodell, das sowohl wirtschaftlich als auch architektonisch skalierbar ist. Wir benötigen eine generische, unternehmensweite Sicherheitsinfrastruktur am traditionellen Rand des Netzwerks und eine spezifische, anwendungsspezifische Sicherheitsarchitektur am neuen Rand: der Anwendung.

Dies gilt insbesondere, wenn Sie die Auswirkungen der Cloud auf Anwendungen berücksichtigen. Nicht auf dem Rechenzentrum, sondern auf den Anwendungen . Was wir da draußen schützen müssen, sind die Anwendungen und nicht das Netzwerk. Und das ist uns nicht möglich, wenn unsere Sicherheitsstrategie darauf beruht, die vollständige Kontrolle über das Netzwerk (und darüber, wer darauf zugreift) zu haben. Wir müssen darüber nachdenken, wie wir die Anwendung schützen können, unabhängig davon, ob sie sich im Rechenzentrum befindet oder nicht. Und wir müssen auf dieser Grundlage eine Sicherheitsstrategie entwickeln, und nicht auf der Grundlage derjenigen, auf die wir uns verlassen haben, bevor die Cloud das Rechenzentrum durcheinanderbrachte.

Denken Sie an die kommende Flut von Anwendungen, die durch das Internet der Dinge und die Einführung von Microservices-Architekturen generiert werden. Wenn jede „neue“ Technologie im Allgemeinen zu einer Verzehnfachung der Anwendungen führt, wie viele Anwendungen werden dann zwei gleichzeitige „neue“ Technologien generieren? Wie viele neue Sicherheitsrichtlinien werden am Rand des Netzwerks erforderlich sein, um jede einzelne dieser Anwendungen zu unterstützen?

Ja. Eine Menge. Um ein oder zwei Größenordnungen mehr als heute.

Was wäre, wenn wir diese nach links (in Bezug auf die Bereitstellungspipeline; nach rechts, wenn Sie ein herkömmliches Netzwerkdiagramm betrachten) verschieben und in eine stärker softwarebasierte und definierte Umgebung verschieben würden? Was wäre, wenn wir die Leute, die die Anwendungen entwickeln und genau kennen, damit beauftragen würden, bei der Entwicklung der Richtlinien zu ihrer Absicherung mitzuhelfen und diese dann in den Bereitstellungsprozess zu integrieren? In die CI/CD-Pipeline? Was wäre, wenn wir Apps auf die gleiche Weise verpacken würden, mit den gleichen Sicherheitsdiensten, die sie benötigen, egal ob in der öffentlichen Cloud oder vor Ort? Ist es irgendwie gelungen, eine konsistente Sicherheit über die gesamten IT-Infrastrukturen hinweg zu erreichen, die 60 % der Unternehmen als den wichtigsten Faktor zum Schutz von Cloud-Umgebungen erachten [ Cloud Security Spotlight ]?

Wäre das skalierbar?  

Ich vermute, dass dies der Fall wäre, allerdings mit weniger Störungen und besserer Handhabbarkeit als beim aktuellen Modell.

Die Cloud ist disruptiv. Mobilität ist disruptiv. Das Internet der Dinge wird für Umbrüche sorgen. Das ist nicht immer schlecht, insbesondere wenn es uns die Möglichkeit bietet, die Art und Weise, wie wir Anwendungen bereitstellen und sichern, zu überdenken und neu zu bewerten.

Vielleicht ist es also an der Zeit, unser Sicherheitsmodell komplett umzukrempeln und die App als neuen Perimeter zu akzeptieren, um so die Sicherheit besser skalieren, Apps besser schützen und die Unverletzlichkeit unserer Daten wahren zu können.