Natürlich sind Applications für die Führung Ihres Unternehmens von entscheidender Bedeutung. Richtig eingesetzt können sie nahezu jede Aufgabe oder jeden Prozess schneller und einfacher machen. Aber kann man des Guten zu viel haben? Offensichtlich ja. IT-Betriebsfachleute haben Mühe, mit den sich ständig ändernden Application , Plattformen und modernen Technologiestandards Schritt zu halten. Aus diesem Grund werden App-Sicherheit, Transparenz und Compliance zu einem immer wichtigeren Thema.
Für eine große Reederei war dies jedenfalls der Fall. Schon damals, als die zunehmende Verbreitung von Apps noch kein Problem darstellte, bewertete dieser Transport- und Bürodienstleistungsriese sein Application und stellte fest, dass es über 2.600 Applications umfasste. Diese Zahl war die Folge einer massiven Akquisitionsoffensive und eines schnellen Wachstums. Ebenso besorgniserregend ist, dass mehr als 14.000 benutzerdefinierte Schnittstellen zu diesen Applications identifiziert wurden. Die Angriffsfläche für so viele Applications stellt für jedes Unternehmen ein riesiges Risiko dar, mit dem es allein zu kämpfen hat. Und das ist nur eines der vielen erheblichen Risiken, die mit dieser Art der Application einhergehen.
Dank einer äußerst fruchtbaren App-Entwicklungsumgebung können Applications heute innerhalb weniger Wochen von der ersten Idee bis zum Proof of Concept gelangen. Eine der Folgen dieser Geschwindigkeit besteht darin, dass die Verantwortung für Entscheidungen zur App-Entwicklung und -Bereitstellung – einschließlich solcher, die sich auf Sicherheit und Compliance auswirken – von den Netzwerk- und Sicherheitsexperten weg und hin zu den Entwicklern verlagert wurde. Dies ist zwar im Hinblick auf die Geschwindigkeit großartig – es setzt latentes Innovationspotenzial frei und verbessert die Wettbewerbsposition des Unternehmens –, erhebliche Sicherheitsrisiken, Compliance-Anforderungen und betriebliche Bedenken bleiben jedoch bestehen.
Die neuen Interessenvertreter bevorzugen Cloud-native und kostengünstige Open-Source-Optionen gegenüber robusteren Lösungen, die von Fachexperten verwaltet werden. Dies rührt von der berechtigten Sorge her, dass die Abhängigkeit von anderen Teams zu Reibungen im Prozess führen und so das Innovationstempo verlangsamen könnte. Zu den allgemeinen Problemen bei diesem Ansatz gehören jedoch die zunehmende Verbreitung von Sicherheits- und Verwaltungstools, mangelnde Transparenz hinsichtlich der Application und erhebliche Herausforderungen bei der Einhaltung gesetzlicher Vorschriften.
Laut unserem State of Application Services Report 2019 nutzen rund 87 % der Unternehmen Multi-Cloud-Bereitstellungen. Dabei besteht eine Tendenz, alle beim Cloud-Anbieter verfügbaren Tools zu verwenden. Dies bedeutet, dass mehrere native Schnittstellen verwendet werden, um im Wesentlichen dasselbe Problem zu lösen. Dies führt dazu, dass es zu Problemen mit unterschiedlichen Funktionen, Richtlinien und Verwaltungsschnittstellen kommt, was wiederum das Geschäftsrisiko erhöht.
Hinzu kommt nicht nur die schiere Anzahl der Apps, die von Organisationen verwaltet werden, sondern auch deren Komplexität. Daraus ergibt sich für Unternehmen wie Ihres eine größere Bedrohungsfläche bzw. ein größerer Bereich potenzieller Sicherheitslücke. Heute muss man sich mit unterschiedlichen Web-Frameworks wie unter anderem node.js und HTML5 auseinandersetzen, einschließlich Application und Webservern. Verschiedene Browser haben Zugriff auf unterschiedliche Applications. Mit jeder zusätzlichen Komplexitätsebene gibt es mehr Schwachstellen und mehr Risiken, die gemanagt werden müssen.
Wie gehen Sie also mit diesem Risiko um? Indem Sie Ihren Fokus verschieben.
Die Sicherheit des Netzwerks war uns immer ein Anliegen. Aber es ist Zeit, sich auch auf die Application zu konzentrieren. Insbesondere Web Application Firewalls sind eine gängige Methode zur Verwaltung der Application . Das liegt daran, dass die Bösewichte es nicht nur auf das Netzwerk abgesehen haben. Denn auch bei einem sicheren Netzwerk gilt: Wenn eine Application eine Sicherheitslücke aufweist, sind sie betroffen.
Nehmen wir noch einmal die Reederei als Beispiel. Jeder auf der Welt kann für seine Versandanforderungen auf die Website zugreifen. Das sind Milliarden von Menschen. Selbst wenn das Netzwerk vollständig gesperrt ist, könnte die Application einen Zugang darstellen, da jeder berechtigt ist, sie zu verwenden. Das größte Risiko für sie besteht also bei dieser Application und nicht bei ihrem sorgfältig geschützten Netzwerk. Für viele Unternehmen ist die Application derzeit das schwächste Glied. Und die Hacker wissen es.
Sie müssen standardisierte Application erstellen, die global föderiert werden können, ohne die Innovation dezentraler Entwicklerteams zu behindern. Nutzen und aktivieren Sie die Automatisierung, um sicherzustellen, dass Sicherheit integriert ist. Sicherheitsrichtlinien sollten von Experten auf ihrem Gebiet definiert und verwaltet und als Artefakte in Quellcode Repositories zur Verwendung in CI/CD-Automatisierungs-Pipelines gespeichert werden, anstatt sie nachträglich fest codiert oder manuell konfiguriert zu haben. Um die Markteinführungszeit von Application (auf sichere Weise) weiter zu verkürzen, ist es wichtig, dass Sie nur das codieren, was benötigt wird, und wiederverwendbare Infrastrukturdienste wie Authentifizierung und Web Application Firewalls nutzen.
Im März 2019 standen Android-Nutzern mehr als 2,1 Millionen Apps zur Verfügung. Apples App Store
bietet mehr als 1,8 Millionen Apps. Und dabei sind die Millionen von Applications , die entwickelt und bereitgestellt wurden, noch gar nicht berücksichtigt. Insgesamt sind heute weltweit wahrscheinlich mehr als eine Milliarde Applications im Einsatz.
Möchten Sie ein schockierendes Geheimnis erfahren? Die meisten Organisationen können Ihnen zu keinem Zeitpunkt sagen, was mit ihren Apps passiert. Sie wissen nicht, wie viele Apps sie haben, geschweige denn, wo diese Apps gespeichert sind oder wer darauf Zugriff hat. Sogar bei den wichtigsten Applications haben Unternehmen selten durchgängig Einblick in die Leistung dieser Apps (z. B. Verfügbarkeit, Endbenutzerlatenz) oder wissen nicht, wo sie nachsehen müssen, wenn etwas schief geht.
Unabhängig von Ihrer Strategie sollte das Ziel darin bestehen, herauszufinden, wie Sie Applications in allen Ihren verschiedenen Infrastruktursilos auf konsistente Weise bereitstellen und verwalten können. Der beste Weg hierfür – und um Einblick in die Pfade für alle Ihre Applications zu erhalten – besteht in der Nutzung eines konsistenten Satzes von Multi-Cloud Application . Gemeinsame Tools helfen Ihnen, Risiken zu verringern, die Wiederholbarkeit zu erhöhen und Fehler zu reduzieren, indem Sie, wo immer möglich, konsistente Dienste wiederverwenden, insbesondere in Multi-Cloud-Architekturen. Beim Einsatz in Ihrer gesamten App-Landschaft sollten diese konsistenten Dienste eine vollständige Überprüfung des gesamten Datenverkehrs über den Datenpfad ermöglichen und so bei auftretenden Problemen eine einfache Fehlerbehebung sowie das Abfangen und Blockieren bösartigen Datenverkehrs gewährleisten.
Diese Konsistenz und die Transparenz, die dieser Ansatz ermöglicht, tragen auch dazu bei, Reibungen zwischen den verschiedenen Betriebsteams zu reduzieren, die zusammenarbeiten müssen, um die hohe Leistung und Sicherheit der Apps zu gewährleisten.
Viele Unternehmen stehen heute vor erheblichen Herausforderungen bei der Einhaltung gesetzlicher Vorschriften, insbesondere solche, die Applications über mehrere Clouds hinweg betreiben (was die überwiegende Mehrheit der Unternehmen derzeit tut oder plant).
Wie in vielen modernen Städten sind die digitalen Anforderungen der Stadt Bellevue dramatisch gestiegen. Vor einem Jahrzehnt nutzten nur eine Handvoll technischer Mitarbeiter das VPN für den Fernzugriff auf Systeme. Heute ist es allen 1.600 Mitarbeitern möglich, von zu Hause aus zu arbeiten. Um der Stadtpolizei den Zugriff auf sensible Daten zur Kriminalgeschichte zu ermöglichen, müssen ihre Systeme strengen Bundesrichtlinien entsprechen, darunter der Sicherheitsrichtlinie des Criminal Justice Information Services (CJIS) und dem damit verbundenen Federal Information Processing Standard (FIPS). Die Einhaltung von CJIS und FIPS wird durch eine jährliche Bundesprüfung sichergestellt. Wenn dieser Standard nicht eingehalten wird, ist die Polizei im Außendienst in den Informationen eingeschränkt, auf die sie zugreifen kann. Letztendlich musste die Stadt in der Lage sein, einen sicheren und konformen Zugang zu allen städtischen Diensten bereitzustellen.
Die Lösung? Ich will nicht wie eine kaputte Schallplatte klingen, aber wir sind wieder bei der Konsistenz angelangt. Einheitliche, überprüfbare Sicherheitsrichtlinien, die in die CI/CD-Pipeline integriert sind, vereinfachen die Einhaltung von Vorschriften und beseitigen ein zentrales Hindernis, das die Einführung von DevOps-Praktiken und -Tools verlangsamt.
Beim Erstellen und Bereitstellen von Applications sorgt der CI/CD-Workflow dafür, dass die Anwendungen stets geschützt und konform ausgerollt werden.
Es besteht kein Zweifel daran, dass die Zahl der Apps immer weiter zunimmt. Einige IT-Experten verwenden möglicherweise die Begriffe „Schatten-IT“ oder „Rogue-IT“, da viele dieser Applications von Geschäftsbenutzern und nicht von der IT in die Organisation eingebracht werden. Doch abfällige Worte gehen nicht auf die Probleme ein, die entstehen, wenn Geschäftsanwender die Beschaffung (oder Entwicklung) von Applications selbst in die Hand nehmen. Betrachten Sie es vielmehr als geschäftsorientierte IT – als eine Partnerschaft zwischen Geschäftsbenutzern und IT, die gemeinsam versuchen, die Geschäftsmission bestmöglich zu erfüllen.
Die zunehmende Verbreitung von Application erfordert eine konsistente, automatisierbare und zentrale Steuerung. Heutzutage ist es für Unternehmen üblich, dass ihre Application über verschiedene Plattformen verstreut sind. In der Cloud. In ihren privaten Rechenzentren. Vor Ort. In verschiedenen SaaS-Umgebungen. Unternehmen erhalten zunehmend eine einheitliche Ansicht ihres gesamten Application . Mit dieser Art der Kontrolle lassen sich die Risiken viel einfacher handhaben.
Das breite und umfassende Portfolio an Application und die allgegenwärtige Plattform von F5 ermöglichen Unternehmen die Zentralisierung und Verwaltung überprüfbarer Sicherheits- und Infrastrukturdienste auf Unternehmensniveau in unterschiedlichsten Umgebungen. Auf diese Weise werden die Änderungskosten gesenkt und Entwickler können sich auf Innovationen konzentrieren.