Was Hybrid-IT für die App- und API-Sicherheit bedeutet
Seit Jahren umgeht die Branche die Realitäten – und die damit verbundenen Herausforderungen – der Hybrid-IT, indem sie sie „Multi-Cloud“ nennt.
Dies bedeutet nicht, dass Unternehmen nicht in mehreren Clouds arbeiten. Das ist mit Sicherheit der Fall. Damit ist allerdings gesagt, dass dieser Begriff nicht vollständig zum Ausdruck bringt, dass es sich bei „Cloud“ um ein Betriebsmodell handelt, das nicht nur auf öffentliche Anbieter von Infrastruktur als Service beschränkt ist. Tatsächlich haben unsere Daten Jahr für Jahr gezeigt, dass Unternehmen sowohl lokale Clouds betreiben als auch öffentliche Versionen nutzen.
Doch selbst dabei wird die Realität der Hybrid-IT außer Acht gelassen, die seit dem Aufkommen der Cloud, die die Geschäftswelt im Sturm eroberte, direkt vor unserer Nase liegt. Wortspiel beabsichtigt. Denn selbst als Unternehmen auf die Cloud umstiegen, arbeiteten die meisten noch immer mit herkömmlichen lokalen Umgebungen. Denn die meisten Unternehmen sind nicht neu, sondern bestehen bereits seit zwanzig, dreißig oder sogar fünfzig Jahren. Das bedeutet, dass sie über ein etabliertes Portfolio verfügen, das jede Generation wichtiger App-Architekturen umfasst, von Monolithen bis zu Microservices, von Client-Server bis zu Mobilgeräten.
Für unsere diesjährige Jahresstudie haben wir uns speziell auf die Umgebungen vor Ort konzentriert, weil wir die Realitäten verstehen wollten, mit denen unsere Kunden konfrontiert sind. Die Daten sprechen für sich: Unternehmen waren und sind hybrid.
Es geht auch nicht nur um die Recherche für diesen Bericht. Raten Sie mal, was F5 NGINX bei der Umfrage in seiner Open-Source-Community herausgefunden hat (neben anderen interessanten Informationen)? Ja, dieser Hybrid wird bleiben.
Ohne Ihnen jetzt schon alle Ergebnisse unseres kommenden Berichts „State of Application Strategy“ vorweg zu nehmen, möchte ich sagen, dass der Trend zu modernen Applications stark ist, es aber Anzeichen dafür gibt, dass einige Unternehmen sich nie voll und ganz für den Ersatz herkömmlicher Apps durch modernere Versionen entscheiden werden.
Ergo werden Unternehmen aus diesem Grund und folglich auch in den nächsten Jahren hybrid bleiben.
Doch das führt uns zu der Frage: Was bedeutet das für die Sicherheit? Insbesondere für die App- und API-Sicherheit?
Die Auswirkungen auf die App- und API-Sicherheit
Wenn wir davon ausgehen, dass Organisationen sowohl in ihrem Kern (App-Portfolio) als auch in ihren Betriebsumgebungen hybrid sind, dann sind die Auswirkungen auf die App- und API-Sicherheit ziemlich tiefgreifend.
Das liegt daran, dass einige Application , wie etwa Container, besondere Sicherheitsanforderungen haben, die von herkömmlichen Sicherheitslösungen nicht erfüllt werden können. Dies bedeutet auch, dass es für Unternehmen schwierig sein wird, konsistente Sicherheitslösungen zu finden, die Kern-, Cloud- und Edge-Bereitstellungen von Application Workloads abdecken, solange die Apps vor Ort verbleiben. Aber warten Sie, es gibt noch mehr! Denn es bedeutet auch, dass der Bedarf an bestehenden traditionellen Lösungen nicht einfach verschwindet, insbesondere nicht an jenen, deren Schwerpunkt auf dem Schutz von Apps und APIs vor Protokollmissbrauch und -ausnutzung liegt.
Unglücklicherweise für Unternehmen bedeutet Hybrid-IT nicht automatisch auch Hybrid-Sicherheit – und das kann auch nicht der Fall sein.
Mit hybrider Sicherheit meine ich das Mischen von App- und API-Sicherheitsdiensten von einem Anbieter mit denen eines anderen und noch eines anderen und noch eines anderen. Obwohl es nach einer großartigen Lösung klingt, die Sicherheit in den App-Lebenszyklus zu verlagern, führt dies allzu häufig zum Weg des geringsten Widerstands – einer Vielzahl inkompatibler App- und API-Sicherheitsdienste, die die Bemühungen zur Sicherung aller Apps und APIs erschweren und vereiteln.
Die Auswirkungen der Komplexität von Cloud-Tools und APIs auf Unternehmen zeigen sich bereits heute darin, dass es ihnen nicht gelingt, die Sicherheit für alle Applications einheitlich anzuwenden. Ein Mix-and-Match-Ansatz à la carte zur App- und API-Sicherheit funktioniert für die meisten Unternehmen nicht. Das zeigt die erhebliche Zunahme von Sicherheitsverletzungen im vergangenen Jahr, die auf Schwachstellen und Exploits von – Achtung – Apps und APIs zurückzuführen sind.
Die Realität in Bezug auf Sicherheit bei hybrider IT besteht darin, dass der Flickenteppich-Ansatz à la carte zur Sicherung von Apps und APIs auf lange Sicht nicht funktionieren wird. Wir benötigen einen besseren Ansatz, der berücksichtigt, dass die IT und das Unternehmen hybride Systeme sind und in absehbarer Zukunft bleiben werden.