Suchen

Sichere Anwendungsentwicklung dank Shift Left Mit DevSecOps zur sicheren Cloud

| Autor / Redakteur: Rolf Haas * / Stephan Augsten

Schnelligkeit in der Anwendungsentwicklung und -bereitstellung geht oft zu Lasten der Sicherheit. In Cloud-Umgebungen ist das nicht anders. Mit einem DevSecOps-Ansatz wird aber auch die Cloud zu einem sicheren Ort.

Firmen zum Thema

Gerade bei der flexiblen Anwendungsbereitstellung über Container können Fehler passieren, die man durch einen Shift-Left-Ansatz verhindern kann.
Gerade bei der flexiblen Anwendungsbereitstellung über Container können Fehler passieren, die man durch einen Shift-Left-Ansatz verhindern kann.
(© leowolfert - stock.adobe.com)

Im vergangenen Jahr gab McAfee eine Umfrage in Auftrag, im Rahmen derer sowohl IT-Leiter als auch -Angestellte befragt wurden, wie sich die Nutzung von Cloud-Technologie in ihrem Unternehmen ausprägt.

Die Ergebnisse der Umfrage sind eindeutig: Cloud Computing hat sich mittlerweile in der IT-Landschaft deutscher Unternehmen etabliert. 91 Prozent der IT-Leiter geben an, dass ihr Unternehmen sogar stark auf den Einsatz der Cloud ausgerichtet ist – sie sind ‚cloud-first‘. 86 Prozent planen, in naher Zukunft veraltete On-Premises-Installationen zu ersetzen, um ‚cloud-only‘ zu sein.

Von den Organisationen, die diese Schiene noch nicht fahren, betonen 62 Prozent ihre Cloud-Bereitschaft und gehen davon aus, dass ihre Betriebe bis 2021 auf diesen Status aufgeholt haben werden. Der hohe Stellenwert, den deutsche Unternehmen der Cloud-Migration beimessen, ist nicht verwunderlich. Immerhin sind mit der Umstellung auf Cloud Computing zahlreiche Vorteile verbunden.

Cloud Computing für Effizienz und Produktivität

Täglich profitieren Arbeitnehmer von der skalierbaren und kostensparenden Cloud-Alternative. Vor allem das vielfältigere Anwendungsrepertoire wissen Nutzer zu schätzen. McAfee zufolge, sind sich sowohl die IT-Leiter (84 Prozent) als auch die Angestellten (70 Prozent) einig, dass cloudbasierte Anwendungen sie in ihrem Arbeitsalltag unterstützen und effizienter arbeiten lassen.

Eine Steigerung der Mitarbeiterproduktivität geht ebenfalls mit dem Einsatz von Cloud Computing einher. Mitarbeiter – und folglich das gesamte Unternehmen – arbeiten agiler und flexibler. Nicht nur Kosten lassen sich mit Cloud Services senken. Unternehmen verzeichnen auch eine kürzere Time-to-Market und zeigen sich offener gegenüber Innovationsprozessen und der Expansion in neue Märkte.

Fluch und Segen zugleich ist die einfachere Zusammenarbeit und Zugänglichkeit von Daten in der Cloud. Die Nutzer können in der Regel ganz unkompliziert Daten auf Cloud-Servern lagern und wesentlich schneller mit ihren Kollegen teilen.

Das Risiko-Management eines Unternehmens wird hierdurch jedoch schwer auf die Probe gestellt: Die Cloud wird immer mehr zum virtuellen Depot für sensible und unternehmenskritische Inhalte. Ein gefundenes Fressen für Cyber-Kriminelle und interne sowie externe Saboteure.

Sensible Daten in der Cloud und das steigende Risikopotenzial

Laut dem Cloud Adoption and Risk Report geht McAfee beim Anteil sensibler Daten, der sich insgesamt auf Cloud-Server verteilt, von 21 Prozent aus. Darüber hinaus hat sich die Menge der Daten dieser Kategorie, die über die Cloud geteilt werden, auf einen Anteil von 53 Prozent erhöht.

Die aktuelle Umfrage bestätigt, dass sich in Bezug auf Cloud Computing ein falsches Gefühl von Sicherheit verbreitet: 61 Prozent der IT-Leiter schätzen, dass sich mindestens die Hälfte ihrer sensiblen Daten in der Cloud befinden. Dieser Angabe stehen 96 Prozent gegenüber, die noch mehr sensible Inhalte online lagern und sich auf die Cloud verlassen wollen.

DDoS-Attacken, Phishing-Links und Ransomware: Cyber-Kriminelle entwickeln laufend neue Methoden, um den operativen Unternehmensbetrieb nachhaltig lahmzulegen oder wertvolle Daten abzugreifen, um diese gewinnbringend im Darknet zu verkaufen. Nicht selten nutzen sie die Schwachstelle „Mitarbeiter“, um ihr (finanzielles) Ziel zu erreichen.

Nicht genehmigte Anwendungen

Die sogenannte Schatten-IT stellt dabei ein ernstzunehmendes Problem dar: Um gewisse Arbeiten zu erleichtern und schneller abwickeln zu können, installieren und nutzen Mitarbeiter oft von der Unternehmens-IT nicht autorisierte Software oder Hardware. Auf diese Weise vergrößern sie – zumeist unwissentlich – das Risikopotenzial. Diese Anwendungen fallen nämlich unter den Radar der internen IT-Abteilung, wodurch IT-Administratoren nicht in der Lage sind, diese angemessen zu überwachen und abzusichern.

53 Prozent der IT-Leiter wissen um dieses Problem: Sie sind sich sicher, dass mindestens die Hälfte ihrer Mitarbeiter diesem Trend nachgehen. 41 Prozent der Angestellten geben sogar zu, dass sie nicht genehmigte Anwendungen im Einsatz haben. 14 Prozent wissen nicht einmal, welche Dienste offiziell genehmigt wurden. Im schlimmsten Fall führt diese gefährliche Mentalität zu Schadcodes, Datenlecks, Compliance-Verstößen und folglich hohen Bußgeldern.

Cloud Provider bieten nur einen begrenzten, grundlegenden Schutz in der Cloud. Zwar obliegt die Absicherung der Netzwerk-Infrastruktur und den physischen Komponenten primär den Providern, jedoch müssen Unternehmen und Endnutzer für eigene Sicherheitsmaßnahmen in der Cloud sorgen. Außerdem müssen sich Entwickler von Cloud-Applikationen und -Codes im Klaren sein, dass auch sie eine gewisse Verantwortung tragen, die Sicherheit ihrer Produkte zu gewährleisten. An dieser Stelle kommt DevSecOps ins Spiel.

Sicherheit von Anfang an mit Shift Left

Die Nutzung Cloud-nativer Container erfreut sich bei Unternehmen immer größerer Beliebtheit, um Workloads effektiv zu verlagern. CASB-Lösungen können hier für eine grundlegende Sicherheit innerhalb des Container-Kontextes sorgen, indem sie Container-Workloads und deren zugrundeliegende Infrastruktur schützen.

Doch während der Container-Build-Phase können sich Fehler und Schwachstellen in Container-Images schleichen. Folglich müssen Entwickler beim Schreiben dieser Codes den Sicherheitsaspekt von Anfang an in den Entwicklungsprozess einfließen lassen: Man spricht hier vom sogenannten „Shift Left“-Ansatz.

Entwickler stehen unter enormen Zeitdruck, da von ihnen Release-Zyklen erwartet werden, die in immer kürzer werdenden Abständen stattfinden. Das ist wichtig, um mit Wettbewerbern und der voranschreitenden Technologieentwicklung mithalten zu können. Jedoch leidet die Anwendungs- und Code-Sicherheit unter dem Druck, wodurch die Einhaltung der Compliance gefährdet wird.

Das Risiko, dass eine Applikation – oder Images im Falle der Container-Technologie – fehlerhaft veröffentlicht wird, steigt. Solche Schwachstellen öffnen Cyber-Kriminellen und Saboteuren Türen – sowohl zum Cloud- als auch zu lokalen Unternehmensnetzwerken. Lahmlegung des Betriebs und Datenlecks bilden hier nur zwei mögliche Folgeszenarien.

Schnell auf Fehler reagieren

Fehler selbst sind nicht das größte Problem – die kommen nun einmal vor. Es geht vielmehr darum, diese schnell zu identifizieren und zu beheben. Je später Schwachstellen gefunden werden, desto schwieriger wird es, sie auszubügeln. Hinzu kommen der Kosten- sowie Zeitfaktor – Zahlen, die in die Höhe schießen, sobald Bugs unbemerkt bleiben. Dieser gesamten Problematik soll DevSecOps entgegenwirken.

Wie beim DevOps-Ansatz auch, steht die enge Zusammenarbeit zwischen Entwicklern und dem IT-Operations-Team im Fokus. In diese Zusammenführung wird nun auch der Sicherheitsaspekt in Form von vielen und regelmäßigen Scans über den gesamten Software-Entwicklungszyklus hinweg eingeflochten. Dies führt dazu, dass Fehler wesentlich schneller – noch vor der kritischen Release-Phase – gefunden und behoben werden können.

Rolf Haas
Rolf Haas
(Bild: McAfee)

Automatisierungstools – wie Software Composition Analysis (SCA) oder Sicherheitsscanner für Container – unterstützen Entwicklerteams auf technologischer Seite. Jedoch braucht es auch ein Umdenken in der Unternehmenskultur, damit DevSecOps erfolgreich etabliert werden kann. Immerhin rücken traditionell isolierte Unternehmensbereiche im Zuge dieses Ansatzes noch näher zusammen.

* Rolf Haas ist Senior Enterprise Technology Specialist EMEA bei McAfee und bringt über 25 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen sowie alle Bereiche der IT Security, wie Malware, IPS, Firewall und Verschlüsselung.

(ID:46625288)