:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Regulierter Zugriff auf Daten im Unternehmen Automatisierung hilft bei Einführung von Zero Trust
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Viele Unternehmen führen aktuell Zero-Trust-Sicherheitsmodelle ein. Automatisierung vereinfacht den Prozess, weil sie die Zusammenarbeit von Security- und IT-Operations-Teams verbessert und die Verwaltung von Hybrid-Cloud-Infrastrukturen vereinfacht.
Zero-Trust-Sicherheitsmodelle beziehungsweise Zero-Trust-Architekturen sind eigentlich nichts Neues. Von einem Analysten vor über zehn Jahren entwickelt, gewinnen sie jetzt allerdings endlich an Akzeptanz als effektives Modell für Enterprise-Security.
Das Grundprinzip beruht darauf, den privilegierten Zugriff auf Unternehmensdaten und -systeme zu regulieren und zu authentifizieren. Allerdings ist Zero Trust sehr umfangreich und komplex und erstreckt sich von den Unternehmensrechenzentren über private und hybride Clouds bis zu einer wachsenden Zahl von Edge-Systemen.
Soll Zero Trust all seine Versprechungen einlösen, ist ein einheitlicher Rahmen für die Zusammenarbeit von Security- und IT-Operations-Teams notwendig, damit sie als SecOps-Einheit gemeinsam die großen und komplexen IT- und Cloud-Umgebungen managen können, die sie betreuen.
Zero Trust ermutigt Chief Information Security Officers (CISOs) und ihre Teams zu einer völlig neuen Denkweise, indem es ihnen Werkzeuge liefert, um gründliche Risikoanalysen für alles durchzuführen, was innerhalb und außerhalb des Unternehmensperimeters geschieht. Traditionell lag der Fokus immer auf der Bewertung und Bekämpfung externer Bedrohungen.
Die jüngere Vergangenheit hat jedoch gezeigt, dass Bedrohungen innerhalb der Unternehmensinfrastruktur, wie verborgene Sicherheitsverletzungen, die über Wochen oder gar Monate unentdeckt bleiben, ein ebenso großes Risiko darstellen. Mit Zero Trust behandeln Sicherheitsteams interne und externe Risiken gleichermaßen, um Bedrohungen einzuschätzen, zu überwachen und ihre Auswirkungen zu minimieren.
IT-Teams wachsen zusammen
Um zu verstehen, wie SecOps-Teams Zero Trust erfolgreich einsetzen können, müssen wir zunächst anerkennen, dass Enterprise-Security kein homogenes Ganzes ist, sondern aus Lösungen verschiedener Hersteller besteht, die von unterschiedlichen und oft isolierten Teams betrieben werden.
Es gibt viele verschiedene Ebenen von Enterprise-Security und Automatisierung hilft bereits an vielen Stellen bei Integrationen und der Regelung von Zuständigkeiten. Dadurch sind automatisierte Prozesse und Workflows entstanden, die zu einer offeneren Kultur der Zusammenarbeit beitragen.
Im gleichen Atemzug haben sich neue Kommunikationskanäle etabliert, über die einst eigenständige Teams Meinungen austauschen, gemeinsam Probleme lösen und neue Ideen diskutieren können. Dadurch wurden sogar engere Bande zwischen SecOps-Teams und ihren ITOps- und NetOps-Kollegen geknüpft, wodurch eine einheitlichere, dynamischere und damit auch sicherere Umgebung entsteht.
All das wird möglich, wenn Security-Organisationen ein offenes Framework einsetzen, das auf einer universalen und einfach programmierbaren Sprache basiert. Dann können Teams aus verschiedenen Bereichen sich austauschen, kritische Informationen teilen und sich gegenseitig Zugriff auf verschiedene Systeme und Anwendungen gewähren. In Verbindung mit einem passenden Management-Layer ist dieses Modell ideal für die Verwaltung komplexer Umgebungen mit Lösungen mehrerer Anbieter.
Wenn Security- und IT-Teams ein besseres Verständnis der Aufgaben und Verantwortlichkeiten des jeweils anderen haben, tun sie sich leichter zu kooperieren und als eine Einheit zusammenzuarbeiten. Der Einsatz automatisierter Systeme, die Funktionen der Enterprise-Security unterstützen, kann neue Prozesse etablieren und menschliche Fehler reduzieren.
Dieser Wandel kommt zu einer Zeit, in der Unternehmen verstärkt gefährlichen Angriffen ausgesetzt sind. Die Risiken, die von Security-Breaches ausgehen, beschäftigen – nach einigen aufsehenerregenden Vorfällen – mittlerweile die Vorstandsebenen. Security-Automatisierung unterstützt Unternehmen dabei, diese Herausforderung anzugehen, und liefert ihnen gleichzeitig die Basis für Zero Trust.
Eindringlinge einschränken und isolieren
Einmal ins Unternehmen eingedrungen, bewegen sich Angreifer meist lateral weiter und stören Systeme, manipulieren Daten oder entwenden sie. Bleiben die Eindringlinge unentdeckt, können sie Chaos verursachen und große Schäden anrichten.
Zero-Trust-Architekturen werden daher von einer Netzwerksegmentierung begleitet, die die Bewegungen der Angreifer einschränkt, sie isoliert und die Auswirkungen ihrer Aktionen reduziert. In einer Zero-Trust-Umgebung wird allen Nutzern, Geräten und Anwendungen ein Profil zugewiesen, basierend unter anderem auf digitalen Identitäten, Überprüfungen der Gerätesicherheit und der Validierung von Anwendungen
Je nach Profil werden den Entitäten beschränkte Zugriffsrechte gewährt. Das verhindert, dass sich Angreifer frei innerhalb der Infrastruktur bewegen können, ist aber auch ein präziser und methodischer Ansatz, echten Nutzern, Geräten und Applikationen den Zugriff zu gestatten, wenn sie ihn benötigen.
Mikrosegmentierung ist zwar nur ein Aspekt einer Zero-Trust-Strategie, aber sie zeigt gut, wie mächtig das Konzept ist. Das Durchsetzen granularer Berechtigungen basierend auf dem Profil eines User oder eines digitalen Assets ist jedoch ein komplexer Prozess. Automatisierung hilft dabei, das Verfahren programmatisch und auch im großen Maßstab umzusetzen. Sie stellt zudem sicher, dass neue Technologien und Lösungen, die bestehende Systeme erweitern oder ablösen, entsprechend den Zero-Trust-Vorgaben eingeführt werden.
Die Reaktionszeit minimieren
Vor dem Hintergrund neu aufkommender Bedrohungen und einer IT-Infrastruktur, die sich stetig weiterentwickelt, hilft Automatisierung SecOps-Teams dabei, sich schnell anzupassen. Richtlinien können verändert, Systeme und Prozesse neu konfiguriert werden, um auf kurzfristige Veränderungen oder Anfragen zu reagieren. Das kann sowohl auf Mikro-Ebene mit sehr spezifischen Problemen geschehen als auch auf Makro-Ebene mit Fragen, die das ganze Unternehmen betreffen.
Eine effiziente Automatisierungsplattform erlaubt es SecOps-Teams, verschiedene Technologien, Ökosysteme und Lösungen einzelner Hersteller zu koordinieren – sowohl On-Premises als auch in der Cloud. Sie hilft, Prozesse zu verschlanken und die Effizienz zu verbessern. Sie unterstützt das Zero-Trust-Modell, indem sie Unternehmen überhaupt erst in die Lage versetzt, Zero-Trust-Modelle zu erproben und umzusetzen und ihr Framework aus Sicherheitsrichtlinien zu aktualisieren, egal wie komplex es ist.
Automatisierung hilft den Teams, im Falle von Geschäfts- oder Marktveränderungen exponentiell zu skalieren. Und sie verschafft ihnen eine größere Kontrolle über ihre Umgebung, indem sie das Management von Risiken und sich konstant weiterentwickelnder IT-Landschaften verbessert.
Open Source unterstützt Automatisierung
Open Source ist ein integraler Bestandteil von Automatisierung, genauso wie Open Source auch in anderen Bereichen des Unternehmens eine wichtige Rolle spielt. CISOs sind Experten im Risikomanagement; sie überprüfen alle Security-Maßnahmen kontinuierlich – ob sie leisten, was sie versprechen, ob sie die Anforderungen des Geschäfts unterstützen und ob sie rechtlichen Vorgaben und Best Practices entsprechen.
CISOs wissen es zu schätzen, dass Open-Source-Lösungen vollständig in den IT-Stack von Unternehmen integriert sind, und drängen darauf, dass sie mit umfassendem Enterprise-Support bezogen werden. Das gibt ihnen die Freiheit und die Flexibilität, sich mit Communities zu vernetzen und Innovationen voranzutreiben, aber auch zuverlässige Lösungen einzuführen, die zu einer übergreifenden Strategie für Security-Automatisierung passen.
Zero Trust erlaubt es Unternehmen, von innen heraus eine Security-Strategie zu entwickeln, aber das Modell erfordert umsichtige Planung, Umsetzung und ein kontinuierliches Management. Security-Automatisierung hilft Security- und IT-Teams zusammenzuarbeiten und eine gemeinsame Security-Praxis zu entwickeln für die gesamte, komplexe Infrastruktur, die sie verwalten und schützen müssen. Sie können eine zusätzliche Schutzschicht zwischen IT-Infrastruktur und verteilten Cloud-Ressourcen einziehen.
Gleichsam lässt sich Automatisierung nutzen, um gemeinsame Prozesse aufzusetzen und Informationen zu teilen, damit Probleme schnell identifiziert, diagnostiziert und behoben werden können, bevor sie eskalieren. CISOs können überdies fundierte Entscheidungen über Investitionen und Lösungen treffen, die sie brauchen, um Geschäftsanforderungen zu entsprechen sowie mit aktuellen und künftigen Bedrohungen fertigzuwerden.
* Massimo Ferrari ist Consulting Product Manager, Ansible Security, bei Red Hat.
(ID:46914100)
:quality(80)/p7i.vogel.de/wcms/95/8f/958f5a423f2021d4156e049e02133dc5/0109481174.jpeg "In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs oft das schwächste Glied in IT-Systemen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/27/6c27422042cfb1d3c7501c10145f59d0/0115011708.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")