Suchen

Gesponsert

Für eine sichere digitale Zukunft in der AWS-Cloud Shift Left und Continuous Security – Schneller, günstiger und sicherer Software und digitale Produkte bereitstellen

Amazon Web Services bietet ein breites Arsenal an Werkzeugen und Diensten, um digitale Produktionsplattformen abzusichern. Um diese effektiv einsetzen zu können, werden neue Security-Konzepte benötigt. Diese müssen den agilen Entwicklungsprozess begleiten, im Idealfall beschleunigen und dabei die Qualität des Produktes und des Softwareentwicklungszyklus steigern. Skalierung ist auch beim Thema Security der Schlüssel zum nachhaltigen Erfolg.

Die Alice&Bob.Company bietet Beratung im Bereich Cloud Security sowie Managed Security Services, um die Digitalisierung sicher zu gestalten.
Die Alice&Bob.Company bietet Beratung im Bereich Cloud Security sowie Managed Security Services, um die Digitalisierung sicher zu gestalten.
(Bild: Alice&Bob.Company)

(Bild: Alice&Bob.Company)

Die Cloud ist der Standard. Laut IDC gibt es 2025 mehr Daten in der Cloud als in allen anderen Rechenzentren auf diesem Planeten. Für viele Unternehmen in Deutschland ist „Cloud Native“ ein wesentlicher Grundsatz zur Entwicklung neuer digitaler Produkte und Anwendungen; das gilt für die Entwicklung von unternehmensinternen Anwendungen, im B2B- aber auch für den Bereich Consumer-Applications.

Sicherheit ist dabei immer ein zentraler Kernaspekt, auf dem ein besonderes Augenmerk aller Beteiligten liegt.

Aber können Cloud Plattformen sicher sein?

In gleichem Maße, wie sich IT-Infrastrukturen von dedizierten monolithischen Systemen über Virtualisierung, Cloud Computing zu Containern und Serverless entwickelt haben, hat sich IT Security entwickelt.

Cloud Security teilt viele Grundlagen traditioneller Sicherheitsansätze in der IT, aber ist dennoch anders. Sie skaliert!

Die typische Internet-Anwendung von vor gut fünf Jahren - vor der allgemein gültigen Cloud-Akzeptanz in Deutschland - lief im Rechenzentrum eines klassischen Hosting- oder Managed-Services-Providers. Security wurde hier in der Regel sehr personen-zentrisch implementiert. Verfahren, Sicherheits-Zertifizierungen, Konzepte und Auditierungen, die auf manuelle Tätigkeiten und Prozesse beruhten, waren das Maß der Dinge.

In der Cloud skalieren diese Verfahren jedoch nicht mehr. Ein jährliches Audit oder gar ein quartalsweiser stattfindender Audit hilft bei hochdynamischen Cloud- und Container-Anwendungen nicht mehr. Virtuelle Server werden in wenigen Minuten zu hunderten provisioniert und deprovisioniert. Lambda-Funktionen beispielsweise bedürfen keiner eigenen virtuellen Maschinen und werden ebenso bedarfsweise vollautomatisiert hinzugeschaltet und entfernt.

Darüber hinaus sind Cloud-Anwendungen - mit Hilfe kleiner Änderungen im Code - inzwischen sehr einfach global ausgerollt. Vor wenigen Jahren war es ein ausgesprochenes Qualitätsmerkmal, wenn eine Anwendung in zwei unterschiedlichen Brandschutzzonen implementiert wurde. Das erscheint für die Architektur und das Design neuer Anwendungen heutzutage fast schon archaisch.

Welche neuen Ideen und Konzepte gibt es, um hier von der rasanten Innovationsgeschwindigkeit der Cloud zu profitieren und dennoch sicher zu bleiben?

Shift Left - Früher mit dem Sicherheitsmanagement starten

Cloud Security muss neu gedacht werden. Das neue Stichwort in diesem Kontext ist „Shift Left“. Es geht darum Security Testing bereits zu Beginn im Software Development Lifecycle (SDLC) zu integrieren. Aus DevOps wird DevSecOps. Das ist jedoch weit mehr als eine weitere Wortschöpfung.

Früher war Security ein in der Praxis eher nachgelagerter Prozess, für das die Betriebsmannschaften und das Compliance-Team zuständig waren. Im Rahmen einer kulturellen Veränderung innerhalb des Unternehmens wird Security nun als zusätzliche Qualitätsdimension in der Softwareentwicklung begriffen.

Weniger Sicherheitslücken bedeuten weniger Nacharbeit. In den Sprints der agilen Produktentwicklung bleibt mehr Zeit für funktionale Themen. Innovationen werden schneller implementiert. Das spart Zeit und Geld.

Darüber hinaus erwartet der Markt von digitalen Produkten, dass sie sicher sind. Dabei ist nahezu unerheblich in welcher Branche das Produkt angesiedelt ist oder ob es sich um personenbezogene Daten handelt oder nicht. Kritisch wird es jedoch insbesondere, wenn es um Daten geht, die unter die DSGVO oder anderer Regulatorik, wie z.B. PCI DSS oder BaFin fallen.

Continuous Security - Automatisierung ist Trumpf

Security für digitale Anwendungen, implementiert in Cloud- und Container-Plattformen, muss in gleichem Maße skalieren wie die Plattform selbst. Sie muss ebenso kontinuierlich angewendet werden.

Alice&Bob.Company unterstützt Kunden bei der Einführung und dem Betrieb eines Continuous Security Ansatzes.
Alice&Bob.Company unterstützt Kunden bei der Einführung und dem Betrieb eines Continuous Security Ansatzes.
(Bild: Alice&Bob.Company)

Mit einem sogenannten Continuous Security Ansatz werden gezielt drei Bereiche einer DevOps Pipeline adressiert:

  • Test-driven security – Dabei ist wichtig, dass alle relevanten Überprüfungen als Code-Bestandteil automatisiert in die CI-/CD-Pipeline (Security-as-Code) implementiert werden. Einerseits sollten dies anwendungsbezogene Prüfungen, wie z.B. Quellcode-Analysen oder das Prüfen etwaiger Code-Signaturen oder Security-Header sein. Oftmals ist dieses Thema bereits in modernen Anwendungen zumindest punktuell berücksichtigt, da dies heutzutage zur seriösen Softwareentwicklung dazugehört. Andererseits - und hier ergeben sich meist gravierende Schwächen - sollte auch die genutzten Infrastructure-as-a-Service- und Software-as-a-Service-Komponenten geprüft werden. Ein Kubernetes-Cluster ist vergleichbar mit einem kleinen Rechenzentrum; er besitzt aber auch eine ähnliche Komplexität. Trotz-dem muss der funktional getriebene Softwareentwickler eigenständig über das Errichten, Routen und Sichern von virtuellen Servern, Speichersystemen, Netzen und virtuellen Datenschränken (PODs) entscheiden, obwohl diese Themen oftmals gar nicht zu seinen Stärken gehören. Es ist schwer spezielle Fachdomänen wie Identity & Access Management (IAM), Border Gateway Protocol (BGP) und revisionssicheres Logging zu beherrschen, wenn das Implementieren von Fea-tures im Vordergrund steht.
  • Monitoring and responding to attacks – Intrusion Prevention und Intrusion Detection sind hier mitunter die Kernthemen. Auch Strategien zur Mitigation von DDoS-Angriffen fallen in diesen Bereich. Dabei kommt es darauf an, dass eingesetzte Monitoring-Systeme und Werkzeuge ebenfalls automatisch skalieren und dadurch Cloud kompatibel sind.
  • Automatisierung im Zuge der Angriffserkennung ist ein weiterer wichtiger Aspekt. Die Cloud-Anwendung bzw. Plattform muss in der Lage sein, auf die wichtigsten Bedrohungen eigenständig zu reagieren. Im Falle des Falles ist es wichtig, digitale Forensik zu ermöglichen und - ebenfalls automatisiert - geeignete erste Schritte einzuleiten. Ein Beispiel hierfür ist das automatisierte Verschieben von kompromittierten virtuellen Maschinen in gesicherte Netzbereiche, zur späteren Analyse.
  • Assessing risks and maturing security – Hier geht es nicht um Technologie, sondern um die systematische Verbesserung der Organisation, der Produktentwicklung und des Produktes in Bezug auf seine Sicherheit. Threat Modeling und die Implementierung und Betreuung eines Security Champion Programms sind wesentliche Aspekte, um Unternehmen zu helfen, sich im Dschungel der Cyber-Sicherheit zu fokussieren. Einerseits sorgt eine regelmäßig zu wiederholende Bedrohungsanalyse die auf Anwendung, Infrastrukturen, aber auch Personen abzielt für die richtigen Schwerpunkte. Andererseits wird die Sicherheitskultur des Unternehmens ganzheitlich verbessert.

Alice&Bob.Company - der Schwarzgurt-Trainingspartner für Deine Cloud Security

Die Alice&Bob.Company ist ein junges und bereits sehr erfolgreiches Unternehmen, dass sich ausschließlich auf den Themenbereich AWS-Cloud-Security fokussiert. Das Konzept ist, Geschäftskunden mit Hilfe von Beratung, Managed Services und handverlesenen 3rd-Party-Komponenten beim Aufbau sicherer Datenplattformen sowie Entwicklung sicherer digitaler Produkte zu unterstützen; alles maßgeschneidert und kundenzentrisch bedarfsorientiert.

Das Team von Spezialisten hat bereits in den vergangenen Jahren gemeinschaftlich unter anderer Flagge zusammengearbeitet und dabei viele namhafte Geschäftskunden im Bereich Cloud, Big Data und AI betreut.

Amazon Web Services - als die technologisch führende als auch vollständigste Cloud-Plattform - bietet derzeit 199 Services an. Davon haben mehr als 45 dieser ein-fach nutzbaren Dienste einen Bezug zum Thema Cloud-Security. Alice&Bob.Company ist auf genau diese Services spezialisiert und ermöglicht seinen Kunden das maximale Potenzial dieser Dienste auszuschöpfen. Unternehmen wie die solarisBank und die Deutsche Bahn vertrauen auf die Leistungsfähigkeit des Berliner Unternehmens, dass bereits nach nur sieben Monaten aktiv am Markt als AWS Advanced Partner ausgezeichnet wurde.

Leser des IT-BUSINESS Magazins erhalten eine einstündige Erstberatung kostenfrei unter Angabe des Codes ITB2020SEC. Die Erstberatung und weitere Informationen gibt es hier unter aliceandbob.company.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:46637538)