Der Schutz von IT-Infrastrukturen wie Rechenzentren, Netzwerken und PCs ist seit Jahrzehnten eine der wichtigsten Aufgaben von Sicherheitsteams.
Aber die Zeiten ändern sich, denn immer mehr Unternehmen setzen auf die Cloud und neue Arbeitsweisen. Viele große IT-Organisationen arbeiten heutzutage in komplexen Public Cloud-, Multicloud- und hybriden Umgebungen, in denen Softwareentwicklungsteams Verfahren der kontinuierlichen Integration/kontinuierlichen Bereitstellung (CI/CD) einsetzen, um schnell neuen Code bereitzustellen.
Mittlerweile hat die Covid-19-Pandemie dazu geführt, dass etwa die Hälfte der Beschäftigten ihre sicheren Büroräume verlassen haben und zu Hause arbeiten, wo sich persönliche Geräte und Unternehmensressourcen in weniger sicheren Heimnetzwerken vermischen.
Dieser Trend fördert auch die Programme zur digitalen Transformation, aber die Sicherheit wird in der Regel als Hindernis für alle IT-Modernisierungsbemühungen angesehen. Die Marktentwicklungen des Jahres 2020 haben diese Anforderungen beschleunigt, da die Unternehmen nach Möglichkeiten suchen, flexiblere und widerstandsfähigere Abläufe zu schaffen, um Schritt halten zu können. Dabei stehen die Sicherheitsorganisationen vor wachsenden Herausforderungen wie beispielsweise einer mangelnden Abdeckung für die zunehmenden Bedrohungen an der Edge, schlechter Transparenz und Kontrolle, manuellen Prozessen und zunehmenden Einschnitten bei den Ressourcen.
Angesichts dieser Anforderungen müssen die Sicherheitsorganisationen ihre Ansätze zur Sicherung der Infrastruktur in dieser sich schnell verändernden hybriden Welt rasch anpassen. Im Folgenden werden vier Möglichkeiten unter die Lupe genommen, wie die IT-Sicherheit diesen Bedrohungen mit neuen Modellen und Praktiken begegnen kann, die besser auf die heutigen Geschäftsanforderungen abgestimmt sind:
1. SaaS-gestützte Sicherheit: Sicherheit mit Cloud-Konnektivität, Skalierbarkeit und Effizienz.
2. Erweiterte Erkennung und Reaktion (XDR): Bessere Transparenz und Kontrolle in mehr Umgebungen.
3. Secure Access Service Edge (SASE): Ermöglichung des ortsunabhängigen Zugangs zu Unternehmensressourcen, wobei der Zugriff auf der Grundlage umfassender Informationen über den Kontext der Verbindung, der Aktivität und der zugegriffenen Daten gesteuert wird.
4. Containersicherheit: Bereitstellung einer schnell gepatchten und konsistent konfigurierten Plattform für Microservices.
1. SaaS-gestützte Sicherheit
Immer mehr Sicherheitssysteme können als Software as a Service (SaaS) in Anspruch genommen werden. Dies wird häufig auch als Security as a Service (SECaaS) bezeichnet. Im Gegensatz zu remote betriebenen Sicherheitsdiensten, wie dem Remotemanagement von Sicherheitshardware vor Ort, umfasst moderne SECaaS einen architektonischen Wandel hin zu Sicherheitsmanagement-, Datenspeicher-, Analyse- und Benutzeroberflächenkomponenten, die innerhalb der Cloud betrieben werden.
Die meisten traditionellen Sicherheitsanbieter bieten jetzt Zugriff auf ihre Produkte über die Cloud an. Komponenten wie Schwachstellenscanner, Log Collectors und Agents werden weiterhin lokal eingesetzt, aber die Funktionen für die zentrale Verwaltung, Konfiguration, Datenkonzentration, Analyse und Berichterstattung werden vom Anbieter über eine cloudbasierte Umgebung bereitgestellt. Sowohl die lokalen als auch die Cloud-Komponenten kommunizieren mithilfe der API des Anbieters unter Verwendung sicherer Protokolle über das Internet und ermöglichen so eine ganzheitliche Sicht auf hybride Umgebungen. Die Systemverwaltungsvorgänge werden vom Anbieter als Standardbestandteil des Service bereitgestellt. SECaaS kann daher dem Sicherheitsteam die Systemverwaltung abnehmen. Beispiele für diesen Ansatz sind Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) und Schwachstellentests (siehe Abbildung 1).
Abbildung 1: Typische SECaaS-Modelle sichern mehrere Umgebungen.
SECaaS-Lösungen nutzen in großem Umfang APIs und unterstützen Verbindungen zu anderen Tools wie Security Orchestration und Automation and Response (SOAR). Integration mit virtualisierten Infrastrukturen und Cloud-Plattformen ermöglichen dem Sicherheitsservice die Überwachung von Workloads, um ungeschützte Instanzen zu erkennen und die Behebung zu automatisieren, indem der Cloud-Dienst angewiesen wird, einen Agent einzusetzen oder Bedrohungen zu isolieren, bis entsprechende Maßnahmen ergriffen werden können. Dadurch ist die Sicherheit immer gewährleistet und der Schutz beginnt, sobald der Workload aktiv wird.
Die API-basierte Kommunikation zwischen den Agents und der SECaaS-Verwaltungsschicht ermöglicht ein automatisches Upgrade der Agents, dies reduziert die Anforderungen an das Sicherheitsteam. Viele SECaaS-Lösungen enthalten mehrere Schutzfunktionen in einer einzigen Komponente, wodurch die Kosten für die Bereitstellung mehrerer Agents verringert werden.
Diese Lösungen sind in der Regel für die Cloud, Container und Microservices konzipiert, so dass herkömmliche und flexiblere Bereitstellungsmodelle durch ein und dieselbe Lösung mit gemeinsamen Richtlinien und Reportings geschützt werden können. Die Konsolidierung von Tools reduziert die Komplexität, verbessert die Abdeckung, fördert die Konsistenz und vereinfacht die Bereitstellung, Wartung und den Betrieb, so dass sich das Sicherheitsteam auf die wichtigsten Initiativen konzentrieren kann.
Trotz der möglichen Vorteile kann die Einführung von SECaaS wegen der Produktreife und der Abhängigkeit vom Dienstanbieter mit Problemen verbunden sein. Cloudverwaltete Lösungen weisen nicht die gleiche Erfolgsbilanz wie On-Premises-Lösungen auf und verfügen möglicherweise über weniger Funktionen, insbesondere im Vergleich zu ausgereifteren On-Premises-Lösungen desselben Anbieters.
Darüber hinaus führt das SECaaS-Modell eine dritte Partei ein, den Service Operation Provider, der Zugang zu Konfigurationsdetails und Systemprotokollen erhält. Diese Daten und die Mitarbeiter, die darauf zugreifen, können sich außerhalb der Datenhoheit einer Organisation befinden. Die Identität der Serviceadministratoren und ihre Tätigkeiten sind für den Kunden nicht nachvollziehbar, ebenso wie ein Großteil der Aufgaben im täglichen Betrieb wie Backup und Restore, Business Continuity etc. Hinzu kommt, dass das Verwaltungsportal notwendigerweise durch das Internet exponiert ist und die Plattformen häufig in Umgebungen mit mehreren Kunden betrieben werden.
Diese Situation kann herkömmliche Sicherheits- und Compliance-Ansätze in Bedrängnis bringen, da Transparenz und direkte Kontrolle der Abläufe mit der Verantwortung für die Bereitstellung und Ressourcenbeschaffung kollidieren. Der Serviceanbieter muss die internen Kontrollvorgänge zusammen mit Sicherheitsbescheinigungen und Nachweisen über die geprüfte Einhaltung von Industriestandards transparent machen. Der Kunde, der die Lösung lizenziert, ist jedoch weiterhin für die Sicherheit verantwortlich. Daher sollten Kunden während des Kaufprozesses eine angemessene Sorgfalt walten lassen und die Compliance regelmäßig durch den Lieferanten überprüfen lassen.
2. Erweiterte Erkennungs- und Reaktionsfähigkeit
Es herrscht allgemeiner Konsens darüber, dass eine hundertprozentige Vorbeugung von Sicherheitsvorfällen nicht möglich ist; daher müssen die Sicherheitsteams eine frühzeitige Erkennung gewährleisten und auf eine Bedrohung adäquat reagieren. Hierfür benötigen sie Tools, um zunächst detaillierte Informationen zu sammeln, diese an eine zentrale Stelle zu übermitteln und die Analyse von Vorfällen durch interaktive Abfrage des Gerätezustands zu unterstützen. Anschließend müssen sie den Zustand der Systeme modifizieren, um Angriffe abzuwehren. Auch wenn sie noch nicht flächendeckend eingesetzt werden, sind EDR-Tools (Endpoint Detection and Response) ein wirksamer und bewährter Ansatz zur Systemverteidigung und ein wichtiger Bestandteil des Instrumentariums für komplexe Analysen und Reaktionen.
EDR-Tools haben allerdings Mängel in Bezug auf die Transparenz. EDR wird in der Regel nur auf den vom Unternehmen bereitgestellten Endgeräten eingesetzt. Angreifer können sich jedoch auf anfälligere Bereiche konzentrieren wie beispielsweise an das Netzwerk angebundene Geräte (Speichersysteme, Drucker und Netzwerkgeräte), BYOD-Systeme, cloudbasierte Systeme und die Vielzahl von IoT-Geräten, die mittlerweile auch mit den Netzwerken verbunden sind.
Darüber hinaus sind weitere Angriffsvektoren auf der Oberfläche des Betriebssystems – auf der sich EDR normalerweise befindet – nicht sichtbar. Der Überwachungsgrad derartiger Systeme, basierend auf den von diesen erzeugten Protokollen, ist in der Regel nicht so detailliert wie die EDR-Funktionen.
Defizite in der Transparenz können durch die Einführung spezifischer Erkennungs- und Reaktionstechnologien in den jeweiligen Bereichen behoben werden, wobei jedes derartige Tool eine detaillierte Aufzeichnung, Abfrage und Modifikation des Zustands ermöglicht. Die Netzwerkerkennung und -reaktion (EDR) ermöglicht beispielsweise die Analyse des Netzwerkverkehrs und die Integration mit Netzwerkkontrollgeräten für die Erzwingung von Gegenmaßnahmen. Leider ist es schwierig, mehrere unabhängige und spezialisierte Technologien effektiv zu verwalten. Dadurch entstehen Transparenz- und Kontrollsilos in deren Lücken sich Angreifer zwischen diesen Systemen verstecken.
Idealerweise würde eine universelle Erkennungs- und Reaktionsfähigkeit – die nicht nur unterschiedliche Bereiche wie Endgeräte, Netzwerke und Cloud umfasst, sondern auch die Informationen vereinheitlicht – es den Analysten ermöglichen, diejenigen Aktivitäten zu verfolgen, die zwischen den Bereichen stattfinden und einen einzigen Kontrollpunkt für die Reaktion bereitstellen. Diese Bündelung von Transparenz und Kontrolle bietet auch eine Plattform für Analysen, künstliche Intelligenz und Automatisierung.
Die Sicherheitsanbieter haben den Begriff XDR (Extended Detection and Response) entwickelt, um ein solches universelles und integriertes DR-Tool zu beschreiben, wobei sich das X auf eine erweiterte oder überall vorhandene Abdeckung bezieht. Derzeit gibt es noch keine Standarddefinition für XDR, also davon, was eine XDR-Lösung beinhalten sollte und wie viel Wert sie auf Protokollerfassung, Bedrohungserkennung, Analyse und Automatisierung legen sollte. Wenn Marketing-Teams weiterhin dazu neigen, XDR auf alles Mögliche anzuwenden, besteht die Gefahr, dass das Konzept als Lösung abgewertet wird. Der allgemeine Konsens ist jedoch, dass ein XDR-System Informationssilos aufbrechen und effektive Gegenmaßnahmen ermöglichen sollte. Die teils mangelnde Ausgereiftheit von XDR ist eine der Herausforderungen für die Einführung. Die utopische Vision einer universellen Erkennung und Reaktion lässt sich wahrscheinlich nicht mit einer einzigen Implementierung erreichen. Praktische Erwägungen könnten verhindern, dass das Ergebnis wirklich universell ist, auch wenn das Ziel, die Erkennungs- und Reaktionsfähigkeiten zu verbessern, absolut lohnenswert ist.
Eine weitere Schwierigkeit besteht darin, sicherzustellen, dass das Unternehmen über die nötigen Ressourcen zur Analyse und das erforderliche Fachwissen verfügt, um auf die gewonnenen Erkenntnisse reagieren zu können. Um die Informationen effektiv nutzen zu können, müssen die Sicherheitsteams detaillierte Kenntnisse über das Verhalten der Systeme und mögliche Angriffstechniken haben. Maschinelles Lernen (ML) hat für diesen Bereich großes Potenzial und wird immer häufiger eingesetzt, um signaturbasierte Erkennungsmethoden zu ergänzen oder sogar zu ersetzen. Darüber hinaus ist es notwendig, einen Plan und entsprechende Berechtigungen für die möglicherweise erforderlichen Gegenmaßnahmen zu haben.
Die Vereinheitlichung von Erkennung und Reaktion begünstigt in der Regel die Entscheidung für einen einzigen Anbieter für alle Komponenten, aber Sicherheitsorganisationen müssen oft komplexe Entscheidungen treffen. Dazu gehört die Wahl zwischen Best-of-Breed und integrierten Tool-Suites, die Auswahl und Verwaltung von Anbietern und die Umstellung von bestehenden Tools.
XDR erfordert eine klare langfristige Strategie und daher müssen sich Unternehmen für Technologien, Anbieter und Dienstleistungspartner mit langfristigen Plänen entscheiden. Sie können damit beginnen, sich zunächst auf die ausgereiftesten Elemente von XDR zu konzentrieren, dann auf die Elemente mit dem höchsten abzudeckenden Risiko und schließlich auf die Bereiche, in denen die vorhandenen Tools die am wenigsten nützlichen Erkenntnisse liefern. Dies führt in der Regel zu einer ersten Konzentration auf die Endgeräte. Sobald die EDR innerhalb der Grenzen ihrer Transparenz effektiv funktioniert, sollte es auf XDR ausgeweitet werden.
3. Secure Access Service Edge (SASE)
Herkömmliche Sicherheitschecks konzentrieren sich in der Regel auf das Konzept der vertrauenswürdigen und nicht vertrauenswürdigen Zonen und Systeme, die durch einen streng definierten Bereich geschützt werden. Der Zugriff wird in der Regel nur vertrauenswürdigen Benutzern gewährt, wobei die Aktivitäten nach der Freigabe des Netzwerkzugangs nur noch geringfügig überprüft werden. Ein entscheidender Schritt für die Unternehmenstransformation ist die Einführung eines grundlegend anderen Ansatzes in der Sicherheitsarchitektur des Unternehmens.
Dies sollte auf Basis des in der Branche anerkannten Zero-Trust-Konzepts erfolgen, bei dem sich das Vertrauen auf einzelne Ressourcen und nicht auf ganze Netzwerke bezieht. Die SASE-Architektur ermöglicht einen cloud- und servicebasierten sowie standortunabhängigen Präsenzpunkt, der den sicheren Zugriff für verteilte Anwendungen, Dienste, Benutzer und Geräte ermöglicht. Diese Architektur kann sowohl traditionelle als auch digital veränderte Umgebungen für Benutzer schützen, unabhängig davon, wo auf der Welt sie sich befinden (siehe Abbildung 2).
Abbildung 2. Die SASE-Architektur ermöglicht cloudgestützte, dienstleistungsbasierte und ortsunabhängige Präsenzpunkte.
SASE ersetzt das Konzept der eingeschränkten Zugriffspunkte an der Netzwerkgrenze eines Unternehmens durch eine virtuelle Grenze für interne und externe Benutzer, wobei Zugriffsberechtigungen auf der Grundlage von Richtlinien, Identitäten sowie Geräte- und datenbasierten Sicherheitskontrollen getroffen werden.
Anstatt Zugriffsberechtigungen auf die Initiierung eines externen Netzwerktunnels zu einem vertrauenswürdigen Unternehmensnetzwerk zu stützen, wobei eine Benutzer-Geräte-Kombination verwendet und der Zugriff auf alle internen Ressourcen erlaubt wird, beruhen die Zugriffsberechtigungen auf individuellen Verbindungen, die zum Zeitpunkt der Nutzung festgelegt werden. Die Berechtigung hängt von der Identität, dem Geräteprofil, der Zeit, dem Benutzer, dem Zielkontext und dem Standort ab – also dem wer, wo, was, wann und wie.
Angreifer können sich zwar Zugriff auf ein Gerät in einem Netzwerk verschaffen, es wird Ihnen aber erschwert, sich lateral zu bewegen, da jede Aktion und jeder Zugriff hinterfragt und neu bewertet wird.
Es gibt unterschiedliche Ansätze für SASE. Einige davon beziehen Endpoint-Agents ein, einige nutzen softwaredefinierte Wide Area Network-Verfahren und andere wiederum sind stärker auf Content Delivery Networks ausgerichtet. Die SASE-Architektur kombiniert mehrere Kontrollmechanismen, wie die Prüfung entschlüsselter Inhalte, Sandboxing, Filter, Verhinderung des Diebstahls von Anmeldeinformationen und Schutz vor Datenverlust sowie kontextabhängige Authentifizierung und Autorisierung. Diese Kontrollen werden durch einheitliche und zentralisierte Richtlinien zu einem kohärenten System zusammengefasst. SASE-Ereignisprotokolle können mit fortschrittlichen Verhaltenserkennungs- und Reaktionsfunktionen wie XDR kombiniert werden, um eine End-to-End-Überwachung aller Aktivitäten in der gesamten Architektur zu ermöglichen und so die Chancen eines Unternehmens zu erhöhen, Angriffe zu erkennen und zu blockieren, sobald sie stattfinden. SASE-Architekturen werden üblicherweise in der Cloud gehostet, um die Vorteile des SECaaS-Ansatzes nutzen zu können.
SASE ist keine kleinformatige, auf ein einziges Produkt beschränkte Implementierung. SASE erfordert einen strategischen Ansatz, der traditionelle Architekturen und Investitionen überprüft und herkömmliche Internet Service Provider-Verbindungen und virtuelle cloudbasierte Wide Area-Netzwerke wie MPLS durch ein cloudbasiertes Backbone und SD-WAN ersetzt. Ein weiteres typisches Element dieser Strategie ist die Umstellung auf Firewall as a Service (FWaaS), bei der Hardware und On-Premises-Firewalls in ein Cloud-Backbone verlagert werden.
Die Bündelung von Security Controls und Richtlinien in der SASE-Architektur mit einer engen Integration zwischen den Komponenten kann die Integrationsfähigkeit gegenüber der Leistung der einzelnen Komponenten beeinträchtigen. Es ist möglicherweise nicht sinnvoll, sich für einen Best-of-Breed-Ansatz für die gesamte Architektur zu entscheiden. Die Geschwindigkeit, mit der die etablierten Anbieter SASE einführen, und das Auftauchen von Innovatoren führen jedoch dazu, dass einzelne funktionale Einschränkungen nur von kurzer Dauer sein dürften und durch die allgemeinen Vorteile, die durch die Architektur als Ganzes erzielt werden können, aufgewogen werden.
4. Containersicherheit
Ein Trend in der aktuellen Anwendungsentwicklung ist die Segmentierung der Anwendungen in eine Sammlung von Microservices, um die Komplexität und Abhängigkeiten monolithischer Ansätze zu mindern. Zu diesem Ansatz gehört auch die wünschenswerte Sicherheitseigenschaft der Fehlerisolierung. Bei dieser Architektur in Kombination mit der Bereitstellungstechnik der kontinuierlichen Integration und Bereitstellung (CI/CD) werden die Microservices in Containern bereitgestellt, die den gesamten Code und alle Abhängigkeiten in einem einzigen Image zusammenfassen.
Diese Images durchlaufen häufige Development- und Deployment-Zyklen. Während die Anwendungsstruktur mit Containerumgebungen vereinfacht wird, sind sie selbst komplex und verfügen über mehrere Abstraktionsebenen (Images, Container, Hosts, Container-Laufzeit, Registries und Orchestrators), die spezielle Tools zur Interpretation, Überwachung und Sicherung erfordern.
Unausgereifte Implementierungen von Microservice-Architekturen können unter denselben Sicherheitsproblemen leiden wie monolithische Anwendungen. So kann beispielsweise die Einbindung veralteter, ungepatchter und anfälliger Komponenten und Bibliotheken oder eine falsche Konfiguration zu Schwachstellen in mehreren Containern innerhalb der Anwendung führen. Die schnelle Entwicklung und Bereitstellung von Anwendungen dauert in der Regel eher Tage als Monate, steht aber oft im Widerspruch zu traditionellen Sicherheitsansätzen wie Code-Reviews, Penetrationstests und umfangreichen Änderungsgenehmigungen.
Die Sicherheitsorganisationen müssen dafür sorgen, dass die Sicherheit in den CI/CD-Prozess integriert wird und schnelle Entwicklungszyklen unterstützt. Das erfordert die Integration mit den Implementierungstools und die Einbeziehung des gesamten Containerlebenszyklus. Das und die Nutzung einiger der inhärenten Eigenschaften von Containern sowie die schnelle Bereitstellung können zu einer robusteren Sicherheitsstruktur führen. Beispielsweise kann die Nutzung von automatisierten Tests und Implementierungen, die mit CI/CD einhergehen, eine weitaus schnellere Bereitstellung von Patches ermöglichen. Und dies mit der Gewissheit, dass diese gründlich getestet wurden und ein einfacher Weg zur Rücknahme von Änderungen gewährleistet ist. Zu den Best Practices gehören:
- Absicherung des Quellcodes: Für Angreifer ist ein CI/CD-Prozess ein attraktiver Weg, um Code einzuschleusen, denn wenn es ihnen gelingt, den Quellcode zu ändern, wird er über CI/CD automatisch in die Produktion eingespeist. Daher müssen die Komponenten, aus denen Container zusammengesetzt sind, aus vertrauenswürdigen Quellen mit strengen Zugriffskontrollen und Integritätsprüfungen stammen.
- Einbau der neuesten Versionen: Die Verwendung älterer, anfälliger Komponenten in Container-Images ist eine der Hauptursachen für Sicherheitslücken. Das System muss nach den neuesten Versionen suchen und diese integrieren.
- Kontinuierliches Scannen auf Sicherheitslücken: Die Einbindung von Schwachstellen-Scans in die CI/CD-Pipeline bietet zusätzliche Sicherheit darüber, ob die neuesten Komponenten korrekt integriert und konfiguriert wurden.
- Unveränderlichkeit: Dieser Ansatz besagt, dass keine Änderungen an laufenden Containern zulässig sind. Um Konsistenz und Wiederholbarkeit zu gewährleisten, dürfen Aktualisierungen nur über den nachverfolgten und versionierten Bereitstellungsprozess erfolgen. Das bedeutet auch, dass Änderungen an laufenden Containern von vornherein verdächtig sind.
- Host-Sicherheit: Die Verwendung von reduzierten, containerspezifischen Betriebssystemen sowie die Verwendung und Prüfung von Best-Practice-Benchmarks minimieren die Angriffsfläche.
- Verwaltung von Geheimnissen: Container benötigen geheime Informationen wie API-Schlüssel, Anmeldedaten und Zertifikate für Authentifizierungs- und Autorisierungsaktivitäten. Diese sensiblen Daten sollten nicht im Containerquellcode gespeichert werden. Stattdessen sollten sie in einem separaten Repository aufbewahrt und nur den Containern und Anwendungen zur Verfügung gestellt werden, die sie berechtigterweise benötigen.
- Überwachung und Reaktion: Die Überwachung kann sowohl innerhalb des Containers als auch durch das zugrunde liegende Betriebssystem erfolgen. Die Beschränkung der Container auf eine einzige, einfache Aufgabe kann bei der Verhaltensüberwachung helfen. Der containerbasierte Ansatz kann auch bei der Reaktion helfen, indem er Verbindungen blockiert oder eine einzelne Komponente anhält.
Probleme können auch bei der Verwaltung von Containern auftauchen. Die Anzahl der möglichen Container und die Geschwindigkeit, mit der sie erstellt und stillgelegt werden, können für Systeme, die sie überwachen, und für Analysten, die das Verhalten des Systems interpretieren müssen, eine große Herausforderung darstellen.
Die Vereinfachung der Entwicklungsarbeit durch Aufteilung in eine Reihe genau definierter Microservices kann zwar die Sicherheit der Anwendungsschicht verbessern, doch die Komplexität der Infrastruktur, die zur Unterstützung dieser Architektur in großem Maßstab erforderlich ist, kann erheblich sein. So ist es beispielsweise schwierig, Plattformen für die Verwaltung geheimer Daten zu integrieren und gleichzeitig den Anforderungen an die Geschwindigkeit und Skalierbarkeit gerecht zu werden, vor allem wenn es Hunderte oder sogar Tausende von Microservices gibt.
Dabei geht es um organisatorische Probleme, die geklärt werden müssen. Denn die Sicherheitsfunktion verlagert sich von einem separaten Betrieb, der in langen Zeiträumen große und seltene Implementierungen überwacht, zu einem eng in den Entwicklungs- und Implementierungsvorgang integrierten oder an diesen delegierten Betrieb, was wiederum eine Automatisierung von Prozessen und schnelle Entscheidungsfindung erfordert.
Eine gut gemachte Containerisierung kann die Sicherheit verbessern, aber sie erhöht auch die Komplexität der Infrastruktur und erfordert daher eine Strategie sowie Sorgfalt, Aufmerksamkeit und Ressourcen.
Sicherheitskontrollen in der Praxis
Im Zuge der Umstellung auf Telearbeit im Jahr 2020 passten die Sicherheitsteams die bestehenden Perimeterkontrollen notgedrungen an und bemühten sich, die Kapazitäten für den Fernzugriff zu implementieren oder zumindest zu erhöhen und die Anforderungen und Kontrollen zu lockern. Da Mitarbeiter ihre eigenen Geräte in gemeinsam genutzten privaten Umgebungen in öffentlichen Netzwerken verwenden, versuchen die Angreifer nun, diese Veränderungen mit durchdachten Phishing-Angriffen auszunutzen, um Daten zu stehlen und Unternehmen mit Ransomware zu erpressen. Im Folgenden erfahren Sie, wie Sicherheitsstrategien dazu beitragen können, diese Schwachstellen zu beseitigen:
- SaaS-gestützte Sicherheit: Das Ziel ist es, das gleiche Maß an Zugriff und Sicherheit zu gewährleisten, unabhängig davon, ob Sie innerhalb oder außerhalb der traditionellen Grenzen eines Unternehmens arbeiten. Sie kann auch viel differenziertere und feinkörnigere Autorisierungsentscheidungen und Inhaltsprüfungen bieten, als dies mit VPN-Technologien möglich ist.
- Secure Access Service Edge: SASE ermöglicht einem ebenfalls remote arbeitendem Sicherheitsteam Zugriff auf Sicherheitsmanagementtools, die dafür ausgelegt sind, über das Internet betrieben zu werden. Dieser cloudnative Ansatz ermöglicht es Sicherheitsteams, Tools aus der Ferne zu verwalten und zahlreiche Änderungen an Systemen und Anwendungen vorzunehmen.
- Extended Detection and Response: EDR dehnt die Transparenz über die gesamte Systemumgebung von den Endgeräten über die Netzwerke bis hin zu Cloud-Systemen aus. Dieser Ansatz spielt auch eine Rolle bei der effizienten Erfassung und Reaktion ohne physische Intervention. Selbst die grundlegende Endgeräterkennung und -reaktion ist bei der Fernuntersuchung von Angriffen und der Reaktion darauf wichtig.
Die Veränderungen im Jahr 2020 brachten außerdem eine beispiellose Nachfrage nach schnellen Anwendungsbereitstellungen für fast alle Anwendungsfälle mit sich, darunter Online-Videokonferenzen, Gesundheitsdienste, staatliche Hilfsprogramme, Finanzdienstleistungen sowie Online-Bestellungen und -Lieferungen.
Die Bereitstellung von Microservices in der Cloud hat einen Großteil der Expansion in Richtung schnelle Entwicklung und CI/CD unterstützt. Als Folge davon sind Container und alle damit verbundenen Sicherheitsaspekte von großer Bedeutung. SECaaS ist eine Schlüsselkomponente für die Cloud-Bereitstellung dieser neuen Anwendungen. Darüber hinaus kann XDR bei der Sicherung der von Entwicklern und Administratoren genutzten Endgeräte helfen und Funktionen zur Überwachung, Untersuchung und Reaktion für die Infrastruktur bereitstellen, während diese angepasst und eingeführt wird. SASE kann auch eine Rolle bei der wirksamen Zugriffskontrolle auf neue Systeme spielen.
Schlussfolgerung
Kontinuierliche Änderungen an den Verfahren zur Infrastrukturbereitstellung unterstützen den digitalen Wandel und erfüllen die Anforderungen an eine flexible und agile Systembereitstellung mit veränderten Nutzungsmustern. Diese Trends erfordern Änderungen bei der Implementierung von Sicherheitskontrollen. Gleichzeitig haben die Unternehmen mit der Menge an bereits erfassten Informationen zu kämpfen und müssen erhebliche Ressourcen für die Instandhaltung der bestehenden Systeme aufwenden.
Diese vier Schlüsseltechnologien können die Sicherheitsstrategie eines Unternehmens stärken, um die künftigen Herausforderungen zu bewältigen, die Transformation zu unterstützen und eine Plattform für zukünftige Entwicklungen zu schaffen:
- SaaS-fähige Sicherheit, um einen Überblick über die bestehenden Organisationsperimeter zu erhalten und die Wartungsanstrengungen von Sicherheitsmanagementtools an einen Dienstleister zu übertragen.
- Extended Detection and Response (XDR) für eine detailliertere Sichtbarkeit und Kontrolle von Systemumgebungen.
- Secure Access Service Edge (SASE) zur Konsolidierung bestehender Kontrollen und zur Ermöglichung eines ortsunabhängigen Zugriffs auf Ressourcen mit einer engmaschigen Kontrolle zur Unterstützung eines Zero-Trust-Konzepts.
- Containersicherheit zur Bereitstellung einer schnell gepatchten und konsistent konfigurierten Plattform für Microservices.
Die Umsetzung dieser weitreichenden Ansätze hilft den Sicherheitsteams der Unternehmen, die Abdeckung und Transparenz sicherheitsrelevanter Ereignisse zu verbessern und ihre volle Aufmerksamkeit der Bearbeitung der Sicherheitsergebnisse zu widmen, anstatt die Zeit mit der zeitintensiven Verwaltung von Plattformen zu verbringen, die sie von ihrer eigentlichen Aufgabe ablenkt.
Über DXC im Sicherheitsbereich
Als einer der führenden Anbieter von Sicherheitsservices hilft DXC Technology seinen Kunden, potenzielle Angriffswege zu blockieren, Cyber-Risiken zu reduzieren und die Erkennung von Bedrohungen sowie die Reaktion auf Vorfälle zu verbessern. Unsere fachkundigen Beratungsservices und 24x7 Managed Security Services werden von 3.000 Experten und einem globalen Netzwerk von Security Operations Centern unterstützt. DXC bietet Lösungen, die auf die unterschiedlichen Sicherheitsbedürfnisse seiner Kunden zugeschnitten sind, und hat sich dabei auf die Bereiche Cyberabwehr, digitale Identität, sichere Infrastrukturen und Datenschutz spezialisiert.
Erfahren Sie unter dxc.com/de/de/services/security wie DXC Ihr Unternehmen inmitten des groß angelegten digitalen Wandels schützen kann.
Über die Autoren
Dr. Rhodri Davies ist Security and Service Operations Architect bei DXC Technology und verfügt über mehr als 20 Jahre Erfahrung in diesem Bereich. Er arbeitet in der Abteilung Managed Security Services, wo er sich auf die Technologien konzentriert, die für die Sicherheit von DXCs Kunden erforderlich sind, sowie darauf, wie diese Technologien tagtäglich betrieben werden müssen, um einen effektiven Service zu bieten.
Mike Dutton ist Senior Security Architect bei DXC Managed Security Services in Australien, verfügt über beinahe 10 Jahre Erfahrung bei DXC und war an fast allen Managed Security Services mit einem Schwerpunkt auf der Cloud-Sicherheit beteiligt. Er sorgt dafür, dass DXC angemessene und effektive Sicherheitskontrollen einsetzt, um Kunden bei der Erreichung ihrer digitalen Transformationsziele zu unterstützen.
Yahya Kharraz ist Information Security Architect bei DXC Technology und verfügt über ein breites Spektrum an Erfahrungen im Sicherheitsbereich, von technischen Lösungen bis hin zu Risiken im Security Governance. Er verfügt über weitreichende Erfahrung in der Endgerät- und Infrastruktursicherheit und hat eine Leidenschaft für die Cloud, die Entwicklung von Webanwendungen, Automatisierung und Programmierung. Im Rahmen seines beruflichen Interesses erforscht und evaluiert er ständig modernste Technologien.
Dirk Thys ist derzeit Security Compliance Advisor bei DXC Technology. Außerdem ist er als Lead Architect/Engineer für die Stabilität und Sicherheit der DXCTM-Plattform verantwortlich. Dirk arbeitet eng mit Partnern und Anbietern zusammen, um DXCs Geschäftsziele und die Anforderungen der Kunden zu erfüllen. Er hatte bereits unterschiedliche Positionen in den Bereichen IT-Betrieb, Technik, Projekt- und Programmführung inne und leitete Plattformsicherheitsteams, die für die Bereitstellung von Compliance-Managementdiensten für über 600 Kunden weltweit verantwortlich waren.