Bereitstellung von Echtzeitdaten DevOps inklusive Zero-Trust-Schutz

Von Stephan Augsten

Im Zusammenhang mit Datensicherheit und Compliance bedeutet Zero Trust, die Verfügbarkeit und die Sicherheit der Daten im DevOps-Umfeld zu gewährleisten. Dabei spielen ein leistungsfähiges und praktikables Test-Datenmanagement sowie Datenmaskierung eine entscheidende Rolle.

Anbieter zum Thema

Who is who: Bei einer Zero-Trust-Richtlinie gilt es, vor einem Zugriff jeden Benutzer bzw. jede Transaktion zu überprüfen.
Who is who: Bei einer Zero-Trust-Richtlinie gilt es, vor einem Zugriff jeden Benutzer bzw. jede Transaktion zu überprüfen.
(Bild: Delphix)

Für DevOps-Entscheider steht die Sicherheit der entwickelten Software im Fokus. Denn leider sind Betriebssysteme und Anwendungen zunehmend beliebte Ziele bei Cyberkriminellen. Dies wurde spätestens mit den Vorfällen im Zusammenhang mit Solarwinds sehr deutlich, der als einer der beängstigendsten Angriffe in die Geschichte einging. Die Angreifer verschafften sich über ein infiziertes Software-Update der IT-Überwachungs- und Verwaltungssoftware Zugang zu zahlreichen öffentlichen und privaten Organisationen auf der ganzen Welt.

Security-Experten fanden bei ihren forensischen Nachforschungen heraus, dass die DevOps-Pipeline von Solarwinds der eigentliche Angriffspunkt war. Die Angreifer mussten nicht einmal die Produktionssysteme hacken, denn Solarwinds-Kunden installierten das infizierte Upgrade selbst, womit sich die Cyberangreifer mit kompromittierten Anmeldedaten Zugang zum Kundennetzwerk verschafften. Von dort aus bewegten sie sich seitwärts im gesamten Unternehmensnetz, um schlussendlich große Mengen an Daten zu stehlen.

Mehr und mehr dieser Angriffe wird mit einem Datendiebstahl und zusätzlich mit Ransomware gekoppelt. Besonders gefährdet sind dabei nicht-produktive Umgebungen – und dafür gibt es auch einen Grund: Viele Unternehmen testen ihre Applikationen, Entwicklungen oder Updates mit echten und teils großen Datensätzen, um die Funktion, Systemstabilität und Resilienz zu prüfen. Allerdings liegt der Fokus der Sicherheitsexperten meist auf den Produktionssystem und diese Testumgebungen unterliegen vielfach weniger restriktiven Sicherheitsbedingungen.

Einige Unternehmen sind sogar der Meinung, dass der Prozess der Anonymisierung oder Maskierung sensibler Daten nicht mit den Anforderungen an die Geschwindigkeit von DevOps-Workflows vereinbar ist. Zudem sitzen Entwickler-Teams oft nicht im Unternehmen, sondern sind weltweit verstreut. Infolgedessen bleiben sensible Daten auf zusätzlichen Testsystemen ungeschützt. Um Applikationen zu testen, gehen nicht selten Datensätze via Mail oder über Cloud-Dienste von den Unternehmen über öffentliche Leitungen an die Entwickler, um die Funktionen zu testen.

Untersuchungen von Delphix bestätigen, dass 56 Prozent der Unternehmen ihre sensiblen Daten in Testumgebungen nicht anonymisieren. Neben den Fragen hinsichtlich der Compliance generiert dieses Vorgehen ein einfaches Ziel für Cyberkriminelle, besonders bei Unternehmen, die eine hohe Anzahl von Testinstanzen bereitstellen – in der hauseigenen Infrastruktur oder in der Cloud.

Traditioneller Schutz versus Zero Trust

Prinzipiell geht Zero Trust davon aus, dass kein implizites Vertrauen in Assets, Benutzerkonten, Microservices oder Daten allein aufgrund ihres Standorts besteht. Bei einer Zero-Trust-Richtlinie muss jeder Benutzer und jede Transaktion überprüft werden, bevor der Zugriff auf eine Unternehmensressource gewährt wird.

Das National Institute of Standards and Technology (NIST) definiert Zero Trust als eine sich entwickelnde Reihe von Cybersicherheitsparadigmen, die die Verteidigung von statischen, netzwerkbasierten Perimetern auf Benutzer, Vermögenswerte und Ressourcen konzentrieren. Allerdings lässt sich Zero Trust nicht so einfach wie eine zusätzliche Schutzlösung in der IT installieren. Eine Software oder eine Appliance würde deutlich zu kurz greifen und bestenfalls einige wenige Bereiche unter den besonderen Schutzansatz von Zero Trust stellen.

Die Herausforderung ist, dass Unternehmensnetzwerke immer komplexer werden und traditionelle Sicherheitskonzepte sowie Zugriffskontrollen in Frage stellen. Die Zusammenarbeit findet über Unternehmensgrenzen hinweg statt, da Mitarbeiter, vielfach an anderen Orten arbeiten. Auch Auftragnehmer und Drittanbieter verbinden sich mit einer Vielzahl an Geräten und Netzen. Kurz, die Infrastruktur befindet sich nicht mehr zu 100 Prozent im Unternehmen vor Ort. Zudem haben Unternehmen mit der Sorgfaltspflicht für die Daten eine besondere Herausforderung – vor allem im Bereich der DevOps – bei der traditionelle Schutzkonzepte zu kurz greifen.

Zero Trust in DevOps

Der strategische Wert von Geschäftsdaten hat zu einem wachsenden Bedarf an datengerechten Umgebungen geführt, in denen über die Applikationen zunehmend auf sensible Daten zugegriffen wird. Dies bedeutet, dass die Daten ständig in Bewegung sind. Daten werden beispielsweise aus einem Repository vor Ort extrahiert und in einen Analyse-Workload in der Cloud geladen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Eine weit verbreitete Vorgehensweise ist, Datensätze von einem Unternehmen zu ausgelagerten Entwicklungsteams oder Drittanbietern zur weiteren Verarbeitung zu verschieben. Wenn diese Daten nicht einem Zero Trust Konzept unterworfen werden, beispielsweise durch eine Anonymisierung oder Maskierung, geben Unternehmen zunehmend mehr sensible Daten an immer mehr Nicht-Produktionsumgebungen weiter.

Viele Datenquellen, hohe Sicherheit

DevOps benötigt eine große Menge an Daten und es ist wichtig, dass diese schnell und auf einem einfachen Weg zur Verfügung stehen. Daraus ergeben sich hat zwei elementare Bedürfnisse: Die großen Datenmengen müssen aus vielen unterschiedlichen Quellen zusammengeführt werden und sie müssen bei der Nutzung von DevOps gegen unautorisierte Zugriffe und Nutzung abgesichert sein.

In einem ersten Schritt bietet es sich beispielsweise an, die echten Datensätze über eine Write-Once-Read-Many-Architektur unveränderlich und damit immun gegen Ransomware zu machen. Idealerweise werden die Daten dann über eine Virtualisierungsschicht mit dem Ziel zur Verfügung gestellt, dass keine redundanten Kopien erstellt werden müssen. Der Vorteil ist, dass die Tester immer mit aktuellen Testdaten arbeiten und dass es keine Testdatenpools gibt, die nach den Tests die Speichersysteme belasten oder gar an unsicheren Orten vergessen werden.

Drittens sollten die Daten maskiert werden. Im praktischen Einsatz werden Persönlich identifizierbare Informationen (PII) oder sensible Daten mit Hilfe von vorkonfigurierten Algorithmen geeigneter Tools unabhängig von ihrer Quelle schnell identifiziert. Anschließend werden diese automatisch maskiert oder tokenisiert. Der Vorteil für DevOps liegt darin, dass beispielsweise in Testszenarien keine Echtdaten zum Einsatz kommen, sondern fiktive, aber realistische Daten mit referenzieller Integrität.

Durch die Maskierung werden die Daten irreversibel umgewandelt, sodass sie beispielsweise für Hacker unbrauchbar sind. Damit lassen sich Datenoperation in gleichem Umfang und mit derselben Qualität durchführen, als wenn Echtdaten genutzt würden – mit dem Unterschied, dass Compliance- und Sicherheitsrichtlinien eingehalten werden. Entscheidend dabei ist, dass der Maskierungsprozess für die Entwickler und Tester nicht zum Flaschenhals wird – was mit früheren Technologien leider oft der Fall war und was viele Entwicklungsabteilungen dazu veranlasst hat, die Daten nicht zu maskieren.

Sven März
Sven März
(Bild: Delphix)

Es gilt daher eine Datenbereitstellungs- und Maskierungslösung zu nutzen, die eben nicht an den Wiederholungen von langwierigen Batch-Jobs für die Datenmaskierung scheitert und damit die Arbeit der DevOps maßgeblich behindert. Eine Technologie, welche die Datenbereitstellung und Maskierung mit einer Datenvirtualisierung nahtlos verzahnt, kann diese Leistungsfähigkeit bereitstellen. Erst dann können DevOps vor Ort, in Multi-Cloud-Umgebungen oder an jedem beliebigen Ort die Vorzüge der maskierten, virtuellen Echtdaten uneingeschränkt und in großem Umfang für ihre Zwecke und Testszenarien nutzen und gleichzeitig die Compliance einhalten.

* Sven März ist Senior Director, EMEA Field Services, bei Delphix. In seiner Position ist er für das gesamte Field Services Team verantwortlich, das Datenprojekte bei Unternehmen wie BNPP, Michelin und myToys umsetzt. Der IT- und Datenprofi hat in unterschiedlichen Positionen für Unternehmen wie Siemens, Demandware und Salesforce gearbeitet. Vor Delphix arbeitete er im Bereich von Lösungen für den Einzelhandel, die stark datengetrieben sind und die eine Personalisierung für Transaktionen einschließen.

(ID:48194036)