Native Cloud-Sicherheitsdienste senken die Betriebseffizienz in Multi-Cloud-Umgebungen.
Die Anwendungssicherheit verschiebt sich immer weiter nach links. Infolgedessen sind DevOps-Teams zunehmend für die Sicherheit verantwortlich. Zwar können DevOps-Teams dank ihres Fachwissens über den Entwicklungsprozess des Software-Lebenszyklus Sicherheitsanforderungen bereits früh und effektiv einführen, doch verfügen diese Teams unter Umständen nicht über die Ressourcen, um Bedrohungen vorauszusehen, oder nicht über genügend Fachwissen, um die verschiedenen Sicherheitslösungen und -richtlinien zu implementieren, die zum Schutz moderner Anwendungen erforderlich sind.
Native Cloud-Sicherheitsdienste bieten DevOps-Teams und Entwicklern plattformspezifische Optionen, die optimal für viele Anwendungsanforderungen funktionieren. Da Unternehmen jedoch zunehmend Multi-Cloud-Lösungen einsetzen, überwiegen die Kosten für diese nativen Dienste allmählich die Vorteile. Wo einige wenige Sicherheitsdienste auf einer einzigen Cloud-Plattform ausreichten, werden viele Sicherheitsdienste benötigt, um den gleichen Schutz auf zwei oder mehr Cloud-Plattformen zu bieten. Jede Plattform verfügt über ihre eigenen Anforderungen an die Identitätsverwaltung, Sicherheitsrichtlinien, APIs und Verwaltungsverfahren, was die Gesamteffizienz verringert. Die Steigerung der Betriebseffizienz und -sicherheit ist eine der obersten Prioritäten für Unternehmensinitiativen zur digitalen Transformation und für die Ziele der Unternehmensführung.
Die Implementierungs- und Verwaltungskomplexität, die mit nativen Sicherheitsdiensten einhergeht, ist die erste bedeutende Quelle für ineffiziente Abläufe. Die Schwierigkeiten, die mit der Verwaltung aller Komponenten mehrerer nativer Sicherheitsdienste verbunden sind, können schwerwiegende negative Folgen für ein Unternehmen nach sich ziehen. Sicherheitslücken in Fehlkonfigurationen wurden bei 66 % der Angriffe ausgenutzt (entweder durch Angreifer, die eine Schwachstelle in der Webanwendungs-Firewall ausnutzen, um auf Kontoinformationen zuzugreifen, oder durch Angreifer, die eine fehlerhaft konfigurierte Ressource ausnutzen). DevOps-Ingenieure haben die Aufgabe, die schnellstmögliche Markteinführungszeit zu ermitteln. Durch die Reduzierung des Aufwands, der mit der Wartung und dem Verständnis von Sicherheitsrichtlinien für mehrere Cloud-Anbieter verbunden ist, können DevOps-Teams ihre Aufmerksamkeit und ihre Ressourcen besser auf dieses Ziel konzentrieren.
Herausforderungen für den Sicherheitsbetrieb: Suche nach qualifiziertem Personal (39 %), Einhaltung der Vorschriften (38 %), Transparenz der Infrastruktur (36 %) und Herausforderungen bei der Umsetzung konsistenter Sicherheitsrichtlinien (33 %).
Der Wechsel zu einem Drittanbieterprodukt, das eine konsistente Sicherheitsrichtlinie für alle Anwendungen in einer Multi-Cloud-Umgebung implementiert, kann den Aufwand bei der Implementierung von Sicherheitsmaßnahmen durch DevOps-Teams erheblich reduzieren. Derartige Dienste verringern die Häufigkeit, mit der fehlerhaft konfigurierte Sicherheitsmaßnahmen in Produktionsumgebungen gelangen. Die Integration von Richtlinien und Konfigurationen in CI/CD-Pipelines wird vereinfacht, indem DevOps-Teams eine Reihe von Automatisierungs-Tools erhalten, die zur Standardisierung verwendet werden können, was wiederum die Integration von Sicherheitsdiensten in bestehende Automatisierungs-Toolchains des Unternehmens ermöglicht.
Die geringe Sicherheitstransparenz in Cloud-Infrastrukturen ist eine weitere Ursache für die niedrigere Betriebseffizienz, die mit dem Einsatz nativer Sicherheitsdienste einhergeht. Obwohl Unternehmen von einer schnelleren Bereitstellung profitieren, wenn sie native Dienste nutzen, geben 36 % der Befragten an, dass diese nativen Dienste keinen ausreichenden Einblick in die Sicherheitsinfrastruktur der Cloud bieten. Während DevOps-Teams zunehmend die Bereitstellung und Verwaltung der Anwendungssicherheit übernehmen, gehören die Überwachung der Unternehmenssicherheit und die Berichterstattung nach wie vor zu den Aufgaben der SecOps-Teams. Verteilte und native Cloud-Sicherheitsdienste bedeuten, dass Sicherheitsberichte und -analysen standardmäßig ebenfalls verteilt und cloudspezifisch sind. Die Verteilung der Analyselösungen erhöht die Komplexität über die gesamte Sicherheitslandschaft des Systems hinweg. Infolgedessen können SecOps-Teams möglicherweise nur isolierte, anbieterspezifische Empfehlungen aussprechen. Durch die Verwendung gemeinsamer Sicherheitsdienste, die über einen standardisierten Multi-Cloud-Sicherheitsanbieter implementiert werden, wird sichergestellt, dass alle Anwendungen die gleichen Sicherheitsrichtlinien verwenden. Auf diese Weise können SecOps-Teams Empfehlungen auf der Grundlage gemeinsam genutzter Sicherheitsanalysen auf eine Weise aussprechen, die dem gesamten System zugutekommt.
Die Notwendigkeit, eine Multi-Cloud-Sicherheitsstrategie zu verfolgen, die die Konformität über verschiedene Cloud-Anbieter hinweg sicherstellt, ist eine weitere Quelle für ineffiziente Abläufe bei nativen Sicherheitsdiensten. DevOps-Teams müssen sowohl interne als auch branchenspezifische Sicherheitsanforderungen erfüllen. In der Vergangenheit halfen zentralisierte Informationssicherheits-Teams bei der Einrichtung und Prüfung von Sicherheitskontrollen über Anwendungen hinweg, insbesondere bei Organisationen aus dem Gesundheitswesen und bei Anbietern von Finanzdienstleistungen, die vertrauliche oder geschützte personenbezogene Daten handhaben. Durch die Verlagerung der Anwendungssicherheit nach links sind DevOps-Teams jetzt genauso verantwortlich für die Einhaltung der Sicherheitsanforderungen des Unternehmens wie SecOps-Teams. Es erweist sich als schwierig, die Sicherheitsanforderungen des Unternehmens zu erfüllen, wenn native Sicherheitsrichtlinien nur für einen bestimmten Cloud-Anbieter gelten, unabhängig davon, ob es sich bei diesem Anbieter um AWS, Azure oder Google Cloud handelt. Auch Audits verlieren dadurch an Effizienz. Die Bereitstellung gemeinsamer Multi-Cloud-Sicherheitsrichtlinien reduziert den Zeitaufwand bei der Prüfung von Sicherheitskonfigurationen. Die Integration von Transparenzlösungen ermöglicht es Organisationen, eine zentrale Anlaufstelle zu schaffen, die die Komplexität der Konformitätsprüfung reduziert und die teamübergreifende Zusammenarbeit verbessert.
96 % der Organisationen sind besorgt über ihre derzeitige Sicherheitslage in der Cloud. Themen wie Datenverlust, Erkennung und Reaktion sowie Multi-Cloud-Verwaltung stehen ganz oben auf der Liste der größten Sorgen von Unternehmen.
Änderungen der Konventionen zur Anwendungsentwicklung haben die sicherheitsrelevanten Aufgaben, die in den Zuständigkeitsbereich von DevOps-Teams fallen, erweitert. Infolgedessen ist es zutreffender, diese Teams als DevSecOps zu bezeichnen und als Teil des Sicherheitsbetriebsmodells von SecOps-Teams anzuerkennen. Die weitere Verwendung nativer, anbieterspezifischer Sicherheitsrichtlinien bringt einen erheblichen Verwaltungsaufwand mit sich, wodurch ein Großteil der Vorteile des DevOps-Modells zunichte gemacht wird. Die Standardisierung einer Multi-Cloud-Unternehmenssicherheitslösung erhöht die Betriebseffizienz und schafft Möglichkeiten, sich mit neuen strategischen Sicherheitspartnern zu verbinden, wodurch potenzielle Verluste der Betriebseffizienz beim Übergang in eine Multi-Cloud-Umgebung verringert werden.