Suchen

Cloud-native und DevOps-Praktiken erhöhen die Sicherheit Die fünf Stolpersteine bei der Cloud-Security

| Autor / Redakteur: Thorsten Geissel* / Elke Witmer-Goßner

Beim Weg in die digitale Zukunft führt heute kein Weg mehr an der Cloud vorbei und der Großteil der Unternehmen hat dies längst erkannt. So sind laut dem Cloud and Threat Report von Netskope bereits 89 Prozent der Unternehmensanwender in der Cloud und nutzen täglich mindestens eine Cloud-App aktiv.

Damit Cloud-Projekte nicht durch Sicherheitsprobleme ins Straucheln geraten, sollte das Gleichgewicht zwischen Produktivität und IT-Sicherheit bewahrt werden.
Damit Cloud-Projekte nicht durch Sicherheitsprobleme ins Straucheln geraten, sollte das Gleichgewicht zwischen Produktivität und IT-Sicherheit bewahrt werden.
(Bild: © Andrey Popov - stock.adobe.com)

Dabei verläuft der Umzug in die Cloud keineswegs immer reibungslos. Viele IT-Abteilungen müssen vielmehr die Erfahrung machen, dass mit der Cloud-Migration nicht nur Wachstum und Innovation einhergehen, sondern auch neue Herausforderungen – insbesondere in Sachen Sicherheit und Datenschutz. Tatsache ist: Je mehr Daten, Infrastrukturen und Systeme über Cloud-Applikationen laufen, desto wichtiger ist eine durchdachte Cloud-Security-Strategie. Bei deren Umsetzung stoßen Unternehmen jedoch immer wieder auf Hindernisse.

Auf folgende fünf Herausforderungen treffen IT-Abteilungen dabei am häufigsten:

1. Fehlende Transparenz
Die öffentliche Cloud bietet Unternehmensabteilungen die Freiheit, Instanzen zu erzeugen und Anwendungen auszuführen, deren Ressourcen auf natürliche Weise kommen und gehen. Diese organische Cloud-Adaption mag praktisch sein, geht jedoch auf Kosten der Sichtbarkeit. Das Problem: Mangelt es an Transparenz, können Sicherheitsrisiken in der Cloud-Umgebung nicht identifiziert werden. Die Folge: Klassische Sicherheitsmaßnahmen werden umgangen oder erst viel zu spät in den Bereitstellungszyklus einbezogen. Hinzu kommt, dass herkömmliche Security-Praktiken oft manuelle Eingriffe erfordern und cloud-native-Security gar nicht auf dem Schirm haben.

2. Compliance

Stellt man Anwendungen in der Cloud bereit, ergeben sich neue Herausforderungen in Sachen Compliance. So müssen Unternehmen seit Inkrafttreten der EU-DSGVO etwa nachvollziehen können, wo personenbezogene Daten (PII) gespeichert, verarbeitet, verschoben oder abgerufen werden – egal ob on-premises oder in der Cloud. Das Problem: Der Großteil der verfügbaren Tools ist nicht auf die Compliance-Analyse von Sicherheitskontrollen in physischen Netzwerken und hybriden Cloud-Plattformen ausgelegt. Darüber hinaus wurden traditionelle Compliance Best Practices nicht für hochdynamische Cloud-Umgebungen entwickelt. Die Folge: Solange Security-Teams cloud-basierte Sicherheitskontrolle nicht vollständig verstehen, können sie weder den Grad der Compliance messen, noch Verstöße sichtbar machen.

3. Automation

Der zunehmende Einsatz von DevOps-Praktiken ermöglicht Unternehmen eine noch nie dagewesene Agilität, Schnelligkeit und Flexibilität bei der Bereitstellung von Software. Dies liegt nicht zuletzt am hohen Grad der Automatisierung, der mit DevOps-Prozessen einhergeht und den IT-Tams hilft, Fehlkonfigurationen zu vermeiden und Sicherheitsrisiken proaktiv zu erkennen. Gleichzeitig befürchten Sicherheitsteams durch die zunehmende Automatisierung jedoch auch einen Kontrollverlust – gerade in der Cloud – und scheuen einen Ausbau der Automatisierung. Tatsache ist jedoch, dass die Fehleranfälligkeit manueller Prozesse deutlich höher ist als von automatisierten Prozessen – eine korrekte Implementierung vorausgesetzt. Vor allem in Sachen Change-Management und der Änderung von Sicherheitsrichtlinien in der hybriden Infrastruktur ist Automatisierung heutzutage eine effektive Maßnahme, um Sicherheitsprobleme in der Cloud nachhaltig zu reduzieren.

4. Agilität versus Sicherheit

Bei DevOps-Teams dreht sich alles um Geschwindigkeit und eine schnelle, agile Entwicklung, die sich ideal an den Geschäftsprozessen orientiert. Dabei kollidieren ihre Interessen oft mit denen der Security-Teams, die sämtliche Software-Änderungen vor dem Release genauestens überprüfen, um sicherzustellen, dass keine Sicherheitsrichtlinie missachtet werden. Für viele Unternehmen hat Agilität nach wie vor eine höhere Priorität als Sicherheit – und das, obwohl 90 Prozent der IT-Professionals zugeben, dass die Unfähigkeit, synchronisierte oder standardisierte Richtlinien aufrechtzuerhalten, ein wesentlicher Faktor bei Sicherheits- oder Betriebsvorfällen ist, wie eine Studie von Enterprise Management Associates (EMA) gezeigt hat. Um auch in der Cloud eine nachhaltige Balance zwischen Geschwindigkeit, Agilität und Sicherheit zu erreichen, von der alle Seiten profitieren, müssen DevOps- und Security-Teams noch stärker zusammenarbeiten und gemeinsame Projektziele setzten.

5. Hybride IT

Hybride IT-Infrastrukturen verbinden lokale IT-Umgebungen mit der Cloud und bieten Unternehmen eine Reihe von Vorteilen: Neben erhöhter System-Verfügbarkeit profitieren sie von gesteigerter Agilität und einer flexiblen, unbegrenzten Skalierung. Gleichzeitig bedeuten hybride IT-Umgebungen aber auch eine erhöhte Komplexität, insbesondere weil sie verschiedene Sicherheitspraktiken erfordern. Das Problem: Herkömmliche Security-Tools sind auf herkömmliche Infrastrukturen und Anwendungen ausgerichtet, lassen sich jedoch nicht auf cloud-native und agile Projekte anwenden. Versuchen IT-Teams dennoch, traditionelle Sicherheitsmethoden und -verfahren in der hybriden Cloud oder cloud-nativen Umgebung durchzusetzen, verringern sie dadurch nicht nur die Agilität, sondern gefährden zudem die Sicherheit ihres Unternehmens. Wer diesem Stolperstein entgehen will, muss in der Lage sein, Sicherheitsrichtlinien sowohl in traditionellen als auch cloud-basierten Umgebungen zu verwalten.

Neues Paradigma notwendig

Thorsten Geissel, Tufin Technologies.
Thorsten Geissel, Tufin Technologies.
(Bild: Tufin)

Damit Sicherheitspraktiken mit der Agilität der Cloud mithalten können, braucht es ein neues Paradigma: Hierfür ist ein tiefes Verständnis für die mit der Cloud-Security-Landschaft einhergehenden Herausforderungen vonnöten, sowie Strategien, wie man diesen mit mehr Transparenz, Automatisierung und Kontrolle effektiv begegnen kann. Durch die Einführung von cloud-nativen sowie DevOps-Praktiken und die Fokussierung von Sicherheitsrichtlinien können es Unternehmen schaffen, das Gleichgewicht zwischen Produktivität und IT-Sicherheit zu bewahren und sich verstärkt der Migration in die Cloud zu widmen.

* Der Autor Thorsten Geissel ist Director Sales Engineering EMEA für Tufin Technologies.

(ID:46675012)