Erweitert eine zu hohe Anzahl von Anwendungen die Menge an Bedrohungen?

EINE STEIGENDE BEDROHUNGSANZAHL

Natürlich sind Anwendungen für den Betrieb Ihres Unternehmens unerlässlich. Bei guter Umsetzung können sie fast jede Aufgabe oder jeden Prozess schneller und einfacher gestalten. Aber kann man zu viel des Guten haben? Anscheinend ja. IT-Betriebsexperten haben Schwierigkeiten, mit den sich ständig ändernden Anwendungsarchitekturen, Plattformen und modernen Technologiestandards Schritt zu halten, weshalb die Sicherheit, Transparenz und Compliance von Anwendungen immer mehr zum Thema werden.

Eine große Reederei musste dies beispielsweise feststellen. Selbst damals, als die Verbreitung von Anwendungen noch nicht als Problem erkannt wurde, bewertete dieser Versand- und Bürodienstleistungsgigant sein Anwendungsportfolio und stellte fest, dass es mehr als 2600 Anwendungen umfasste, was die Folge sowohl eines massiven Akquisitionsschubs als auch eines raschen Wachstums war. Ebenso besorgniserregend war die Identifizierung von mehr als 14 000 benutzerdefinierten Schnittstellen zu diesen Anwendungen. Die Bedrohungsanzahl für so viele Anwendungen stellt für jedes Unternehmen ein großes Risiko dar, mit dem es allein zu kämpfen hat, und das ist nur eines der vielen bedeutenden Risiken, die mit dieser Art der Verbreitung von Anwendungen einhergehen.

RISIKEN UND LÖSUNGEN

Dank einer äußerst ergiebigen Umgebung zur Entwicklung von Anwendungen können sich Anwendungen nun innerhalb von Wochen von der ersten Idee bis zum Proof of Concept entwickeln. Eine der Folgen dieser Beschleunigung ist, dass die Verantwortung für die Entwicklung und Bereitstellung von Anwendungen – einschließlich der Entscheidungen, die sich auf die Sicherheit und die Einhaltung von Vorschriften auswirken – auf die Entwickler und nicht mehr auf die Netzwerk- und Sicherheitsexperten verlagert wird. Dies ist zwar großartig für die schnelle Erschließung latenter Innovationskapazitäten und die Verbesserung der Wettbewerbsposition von Unternehmen – maßgebliche Sicherheitsbedrohungen, Compliance-Anforderungen und betriebliche Belange bleiben jedoch bestehen.

Die neuen Stakeholder bevorzugen cloudbasierte und kostengünstige Open-Source-Optionen gegenüber robusteren Lösungen, die von Fachleuten verwaltet werden. Dies rührt von der berechtigten Sorge her, dass die Abhängigkeit von anderen Teams Spannungen in den Prozess bringen und das Tempo von Innovationen verlangsamen könnte. Zu den häufigen Problemen dieses Ansatzes gehören jedoch die Ausweitung von Sicherheits- und Verwaltungstools, mangelnde Transparenz bezüglich der Anwendungsleistung und erhebliche Herausforderungen bei der Einhaltung gesetzlicher Vorschriften.

AUSWEITUNG VON SICHERHEITS- UND MANAGEMENT-TOOLS

Laut unserem Bericht zum Stand der Anwendungsdienste 2019 nutzen rund 87 % der Unternehmen Multi-Cloud-Bereitstellungen, so dass die Tendenz besteht, alle verfügbaren Tools des Cloud-Anbieters zu nutzen. Dies bedeutet, dass mehrere native Schnittstellen verwendet werden müssen, um im Wesentlichen dasselbe Problem zu lösen, was dazu führt, dass Probleme mit unterschiedlichen Funktionen, Richtlinien und Verwaltungsschnittstellen auftreten und diese das Risiko für das Unternehmen erhöhen.

Hinzu kommt nicht nur die schiere Anzahl der Anwendungen, die von Unternehmen verwaltet werden, sondern auch die Komplexität dieser Anwendungen. Das Ergebnis ist eine höhere Anzahl an Bedrohungen – oder ein größerer Bereich potenzieller Sicherheitslücken –, mit der Unternehmen wie das Ihre konfrontiert sind. Heute müssen Sie sich mit verschiedenen Web-Frameworks wie, unter anderem, node.js und HTML5 sowie mit Anwendungs- und Webservern auseinandersetzen. Unterschiedliche Browser haben Zugriff auf unterschiedliche Anwendungen. Mit jeder zusätzlichen Erhöhung der Komplexität entstehen mehr Schwachstellen und mehr Risiken, die es zu bewältigen gilt.

Wie gehen Sie also mit diesem Risiko um? Indem Sie Ihren Schwerpunkt verlagern.

Wir haben uns immer um die Sicherung des Netzwerks gekümmert. Aber es ist auch an der Zeit, sich auf die Anwendungssicherheit zu konzentrieren. Insbesondere Webanwendungs-Firewalls stellen eine gängige Methode zur Verwaltung der Anwendungssicherheit dar. Das liegt daran, dass die Bösewichte mehr als nur das Netzwerk im Visier haben. Schließlich gelangen diese auch in ein sicheres Netzwerk hinein, wenn eine Sicherheitslücke in der Anwendung vorhanden ist.

Nehmen wir noch einmal die Reederei als Beispiel. Jede Person auf der Welt kann auf die Website zugreifen, um einen Versand in Auftrag zu geben. Das sind Milliarden von Menschen. Selbst wenn das Netzwerk vollständig gesperrt ist, könnte die Anwendung der Weg hinein sein, da jeder zu ihrer Nutzung berechtigt ist. Das größte Risiko besteht also bei dieser Anwendung, nicht bei ihrem sorgfältig bewachten Netzwerk. Für viele Unternehmen ist die Anwendung derzeit das schwächste Glied in der Kette. Hacker wissen das.

Die Lösung? Sie müssen einheitliche Anwendungsdienste erstellen, die global föderiert werden können, ohne die Innovation dezentraler Entwicklerteams zu behindern. Sie müssen Automatisierung ermöglichen, um Sicherheitsstrategien zu integrieren, wobei Sicherheitsrichtlinien von Fachexperten definiert und verwaltet sowie als Artefakte in Quellcode-Repositories zur Verwendung in CI/CD-Automatisierungs-Pipelines gespeichert werden, anstatt sie hartzukodieren oder im Nachhinein manuell zu konfigurieren. Um die Markteinführungszeit einer Anwendung (auf sichere Weise) zu verkürzen, ist es entscheidend, nur das zu codieren, was benötigt wird, und wiederverwendbare Infrastrukturdienste wie Authentifizierungen und Webanwendungs-Firewalls zu nutzen.

MANGELNDE TRANSPARENZ VON ANWENDUNGEN

Im März 2019 standen mehr als 2,1 Millionen Anwendungen für Android-Benutzer zur Verfügung. Der App Store von Apple

bietet mehr als 1,8 Millionen Anwendungen an. Dazu kommen noch die Millionen von Anwendungen, die für Unternehmen entwickelt und bereitgestellt wurden. Insgesamt handelt es sich wahrscheinlich um mehr als eine Milliarde Anwendungen, die heute weltweit in Gebrauch sind.

Wollen Sie ein schockierendes Geheimnis hören? Die meisten Organisationen können Ihnen zu keinem Zeitpunkt sagen, was mit ihren Anwendungen los ist. Sie wissen nicht, über wie viele Anwendungen sie verfügen, geschweige denn, wo sich diese Anwendungen befinden oder wer auf sie zugreifen kann. Selbst bei den wichtigsten Anwendungen haben Unternehmen nur selten einen konsistenten Einblick in die Leistung dieser Anwendungen (z. B. Verfügbarkeit, Latenzzeit für Endbenutzer) oder wissen nicht, wo sie bei Problemen nachsehen müssen.

Unabhängig von Ihrer Strategie sollte das Ziel darin bestehen, herauszufinden, wie Sie Anwendungen in allen Ihren verschiedenen Infrastruktursilos einheitlich bereitstellen und verwalten können. Der beste Weg, dies umzusetzen – und die Pfade all Ihrer Anwendungen transparenter zu gestalten – ist die Nutzung eines konsistenten Satzes von Multi-Cloud-Anwendungsdiensten. Gängige Tools helfen Ihnen dabei, Risiken zu reduzieren, die Reproduzierbarkeit zu erhöhen und Fehler zu verringern, indem konsistente Dienste nach Möglichkeit wiederverwendet werden, insbesondere in Multi-Cloud-Architekturen. Wenn diese konsistenten Dienste in Ihrer gesamten Anwendungslandschaft eingesetzt werden, sollten sie eine vollständige Überprüfung des gesamten Datenverkehrs über den Datenpfad, eine einfache Fehlerbehebung sowie das Abfangen und Blockieren von bösartigem Datenverkehr ermöglichen.

Diese Konsistenz und Transparenz, die dieser Ansatz ermöglicht, tragen auch dazu bei, die Spannungen zwischen den verschiedenen Teams zu verringern, die zusammenarbeiten müssen, um die Leistungsfähigkeit und Sicherheit der Anwendungen zu gewährleisten.

HERAUSFORDERUNGEN DER KONFORMITÄT

Viele Unternehmen, insbesondere solche, die Anwendungen über mehrere Clouds hinweg betreiben (wie es die große Mehrheit der Unternehmen heute durchführt oder dies zumindest plant), stehen heute vor erheblichen Herausforderungen bei der Einhaltung gesetzlicher Vorschriften.

Wie viele moderne Städte sind auch die digitalen Bedürfnisse der Stadt Bellevue drastisch gestiegen. Vor einem Jahrzehnt nutzten nur eine Handvoll technischer Mitarbeiter das VPN, um aus der Ferne auf Systeme zuzugreifen. Heute können alle 1600 Mitarbeiter extern auf ihre Aufgaben zugreifen. Für die städtische Polizei bedeutet die Ermöglichung des Zugriffs auf sensible Daten aus dem Strafregister, dass die Systeme strenge Bundesrichtlinien erfüllen müssen, einschließlich der Sicherheitsrichtlinien des Criminal Justice Information Services (CJIS, Bundesinformationsdienst für Strafsachen) und des damit verbundenen Federal Information Processing Standard (FIPS, Bundesstandard für Informationsverarbeitung). Die Einhaltung von CJIS und FIPS wird durch eine jährliche Kontrolle des Bundes durchgesetzt. Ohne die Norm zu erfüllen, ist die Polizei in Bezug auf die Informationen, auf die sie vor Ort zugreifen kann, eingeschränkt. Letztlich musste die Stadt in der Lage sein, einen sicheren, konformen Zugang zu allen städtischen Dienstleistungen zu bieten.

Die Lösung? Auch hier landen wir wieder beim Thema Konsistenz. Konsistente, überprüfbare Sicherheitsrichtlinien, die in die CI/CD-Pipeline integriert sind, vereinfachen die Einhaltung der Vorschriften und beseitigen ein wesentliches Hindernis, das die Einführung von DevOps-Praktiken und -Tools verlangsamt.

Wenn Anwendungen erstellt und bereitgestellt werden, stellt der CI/CD-Workflow jedes Mal sicher, dass dies geschützt und konform geschieht.

NACH VORNE BLICKEN

Es besteht kein Zweifel, dass die Zahl der Anwendungen zunimmt. Einige IT-Fachleute könnten Begriffe wie „Schatten“- oder „Schurken“-IT verwenden, weil viele dieser Anwendungen von gewerblichen Nutzern und nicht von der IT in das Unternehmen eingebracht werden. Aber abschätzende Worte gehen nicht auf die Probleme ein, die entstehen, wenn gewerbliche Nutzer den Erwerb (oder die Entstehung) von Anwendungen selbst in die Hand nehmen. Betrachten Sie das Ganze vielmehr als unternehmensgestützte IT – als eine Partnerschaft zwischen gewerblichen Nutzern und der IT bei dem Versuch, die Mission des Unternehmens am besten zu erfüllen.

Die Ausbreitung von Anwendungen erfordert eine konsistente, automatisierbare und zentrale Kontrolle. Heutzutage ist es üblich, dass die Anwendungen von Unternehmen über verschiedene Plattformen verstreut sind. In der Cloud. In privaten Rechenzentren. Vor Ort. In verschiedenen SaaS-Umgebungen. Unternehmen beginnen, ihr gesamtes Anwendungsportfolio von einer einzigen Glasscheibe aus zu betrachten. Mit dieser Art der Kontrolle sind Risiken viel einfacher zu handhaben.

Das breite und umfassende Portfolio an Anwendungsdiensten und die allgegenwärtige Plattform von F5 ermöglichen es Unternehmen, über verschiedene Umgebungen hinweg prüfbare Sicherheits- und Infrastrukturdienste auf Unternehmensebene zu zentralisieren und zu verwalten, wodurch die Kosten für Änderungen gesenkt werden und Entwickler sich auf Innovationen konzentrieren können