Sicherheit erfordert einen neuen Development-Ansatz Zero-Trust ist der Schlüssel zum unsichtbaren Netz

Autor / Redakteur: Brent Doncaster * / Stephan Augsten

Die Entwicklung wird ständig dazu gedrängt, ihre Prozesse zu beschleunigen, während das Gebot der Sicherheit die Dinge unweigerlich verlangsamt. Um beides gleichzeitig zu realisieren, ist es notwendig, die Sicherheit komplett neu zu denken.

Firmen zum Thema

Im Cloud-nativen Kontext wird das Netzwerk durch eine Reihe von Mikroverbindungen innerhalb von Anwendungen definiert-
Im Cloud-nativen Kontext wird das Netzwerk durch eine Reihe von Mikroverbindungen innerhalb von Anwendungen definiert-
(Bild: geralt / Pixabay )

In der IT-Branche haben sich in Reaktion auf die Notwendigkeit, die IT-Kultur und -Organisation zu verändern, verschiedene Bewegungen wie DevOps und DevSecOps herausgebildet. Sie zielen darauf ab, Silos aufzubrechen und die Integration von Menschen und Fähigkeiten zu ermöglichen, die zur Beschleunigung von Agilität und Transformation erforderlich sind.

Nun wollen vermutlich die wenigsten einen noch sperrigeren Begriff wie DevSecNetOps prägen. Dennoch steht die Frage im Raum, wie sich sicherstellen lässt, dass die ständig wachsende Schnelligkeit der Anwendungsentwicklung und die immer größer werdende Bedrohung durch Cyberangriffe nicht permanent gegenläufige Kräfte darstellen.

Die daraus resultierende Spannung ist allerdings nur dann zwangsläufig und unausweichlich, wenn Vernetzung und Sicherheit weiterhin als getrennte Disziplinen betrachtet werden. Es gilt, die Art und Weise zu ändern, in der Anwendungen entwickelt werden, die von vornherein sicher sind und nicht nachträglich gesichert werden müssen.

Ein Haus bauen, Schlösser anbringen, einen Zaun errichten: Die alte Sichtweise auf die Welt war sinnvoll, als Unternehmensanwendungen noch einigermaßen isoliert im Rechenzentrum liefen. In der Cloud-Ära mit verteilten Anwendungen, virtualisierter Verarbeitung und Speicherung sowie der Notwendigkeit, neben den Angestellten auch Kunden und Partner mit dem Netz zu verbinden, gilt das nicht mehr ohne weiteres.

Die Grenzen der Sicherheitsmaßnahmen sind über die Jahre verschwommen und haben sich teils sogar vollständig aufgelöst. Das Netzwerk hat keine feste Abgrenzung mehr, sondern befindet sich in ständiger Entwicklung – manche würden sogar sagen, in ständigem Umbruch.

Neue Denkweise gefordert

Erforderlich ist also eine neue Architektur, ein neuer Baustil, bei dem Sicherheit und Cloud-native Netzwerkfunktionen in die Anwendungen und den Entwicklungsprozess integriert werden. Dabei geht es ebenso sehr um eine neue Denkweise wie um eine neue Methodik. Solange darüber nachgedacht wird, die Netzwerke zu modernisieren oder sie einfach in die Cloud zu verlagern, werden die gleichen Probleme wie verlängerte Entwicklungszeiten und unsichere Anwendungen auftreten.

Vielleicht ist es ein besserer Weg, die Netzwerke nicht zu modernisieren, sondern sie gleich abzuschaffen. Traditionell wird darüber nachgedacht, wie das Netz vor Angriffen geschützt oder die Angriffsfläche minimiert werden können, aber was wäre, wenn sich die Angriffsfläche auf Null reduzieren ließe? Was wäre, wenn man das Netzwerk unsichtbar machen könnte?

Aufgabe der IT-Industrie ist es, programmierbare, sichere Anwendungsverbindungen bereitzustellen, die einen vertrauenswürdigen Netzwerkzugang ermöglichen. Wenn Identität, Authentifizierung, Autorisierung, dediziertes Routing und Mikro-Segmentierung auf Anwendungsebene gehandhabt werden, sind Sie in puncto Sicherheit nicht mehr von der zugrunde liegenden Netzwerkinfrastruktur abhängig.

Das Netzwerk ist nicht mehr eine feste Einheit wie ein Unternehmens-WAN oder VPN, sondern vielmehr eine Reihe von Mikroverbindungen innerhalb von Anwendungen, die jeweils für spezifische Zugriffsanforderungen programmiert werden können.

Für Unternehmen und unabhängige Softwareanbieter liegen die Vorteile dieses Ansatzes in der geringeren Komplexität, der höheren Geschwindigkeit und der größeren Flexibilität. Die vielen Übergaben zwischen den Teams entfallen. DevOps muss nicht mehr zwischen der Verzögerung der Bereitstellung und der Sicherung der Anwendung wählen. Auch die Erfahrung für Endbenutzer und Betreiber wird verbessert.

DevOps, SecOps und NetOps zusammenbringen

Kommerzielle Softwareentwickler stehen ebenfalls unter dem Druck, ihre Produkte schnell auf den Markt zu bringen, aber sie müssen die Notwendigkeit der Geschwindigkeit gegen das Risiko abwägen, dass ihre Produkte zum Einfallstor für Cyberkriminelle werden. Niemand möchte das nächste SolarWinds sein, dessen Orion-Plattform bei dem berüchtigten Hack im Jahr 2020 als Verbreitungsweg für Malware genutzt wurde.

Die Cloud hat dazu geführt, dass in den Unternehmen immer mehr nicht genehmigte Software eingesetzt wird. Nach Angaben von Cisco sind bis zu 80 Prozent der Software nicht von der IT-Abteilung zur Nutzung freigegeben. Es gibt weitere Schätzungen über das Ausmaß der Cloud-gestützten Schatten-IT: Von den mehr als 1.000 Cloud-Anwendungen, die ein durchschnittliches Unternehmen nutzt, sind demnach nur etwa zehn Prozent auf dem Radar der IT-Abteilung.

Hinter diesen Statistiken verbirgt sich die Tatsache, dass viele dieser Anwendungen unzureichend gesichert sind. Nach Angaben von McAfee erfüllen weniger als zehn Prozent der Cloud-basierten Anwendungen die grundlegenden Anforderungen an Sicherheit und Datenschutz. Dieselbe Quelle behauptet, dass ein durchschnittliches Unternehmen jeden Monat 20 Sicherheitsverstöße im Zusammenhang mit der Cloud erleidet. Im vergangenen Jahr gaben 86 Prozent der Unternehmen zu, dass sie durch Cybersecurity-Angriffe gefährdet waren.

Unternehmen können die Schatten-IT nicht beseitigen, aber unabhängige Software-Hersteller (ISVs) können deren Auswirkungen verringern, indem sie ihr eigenes Haus in Ordnung bringen. Wenn Anwender auf die wachsende Bedrohung ihrer Unternehmen reagieren, sollten sie sich vor Augen halten, dass die Sicherheit von Drittanbieteranwendungen ganz oben auf der Liste der Kaufkriterien stehen muss.

Nach mehr als einem Jahrzehnt in der Cloud-Ära ist es immer noch das Bestreben, alte IT-Konzepte auf das neue Modell abzubilden. Dies ist zum Scheitern verurteilt, wenn nicht die Art und Weise, wie Anwendungen entwickeln werden, geändert wird. Das bedeutet, dass Schluss damit sein muss, die Anwendung und die Infrastruktur als unterschiedliche Bereiche zu betrachten.

Brent Doncaster
Brent Doncaster
(Bild: NetFoundry)

Die organisatorische Antwort muss sein, die Fähigkeiten von DevOps, SecOps und NetOps zusammenzubringen und als ein einziges Team zu arbeiten. Die technische Antwort muss darin bestehen, Anwendungen per Design sicher zu machen.

* Brent Doncaster ist Senior Director Marketing bei NetFoundry.

Ergänzendes zum Thema
Über NetFOundry und das Ziti Open Source Project

Die Entwicklerplattform von NetFoundry ermöglicht es Entwicklern, ISVs und Lösungsanbietern, private Netzwerke in ihre Anwendungen einzubetten, indem sie VPN- und MPLS-Infrastrukturen und -Abhängigkeiten eliminiert. Dazu werden eine Developer-Plattform, entsprechende Software-Development Kits, Anwendungsschnittstellen sowie Zero-Trust-Konnektoren für die Integration notwendiger Funktionen für ein sicheres und performantes Networking angeboten.

Mit Ziti ist es möglich, Netzwerkfunktionen für einen sicheren Zugriff direkt in Cloud-native Anwendungen zu integrieren.
Mit Ziti ist es möglich, Netzwerkfunktionen für einen sicheren Zugriff direkt in Cloud-native Anwendungen zu integrieren.
( Bild: NetFoundry )

Das Unternehmen steht zudem hinter dem eigens ins Leben gerufenen Open-Source-Projekt Ziti. Das Ziel von Ziti ist es, sichere, skalierbare Konnektivität als Netzwerk-Overlay über bestehende Underlay-Netzwerke zu ermöglichen und damit das Netzwerk neu zu erfinden.

Das Ziti C SDK bietet eine Reihe von Funktionen, mit denen Entwickler schnell und einfach Anwendungen erstellen können, die ein Ziti-Netzwerk nutzen.

Mit den Ziti SDKs können private Netzwerke in wenigen Zeilen Code in eigene Apps eingebettet werden. Die Kunden benötigen keine VPNs mehr, um auf Ihre privaten Anwendungen zuzugreifen. Infrastrukturteams orchestrieren Ihre Anwendung innerhalb ihrer bestehenden DevOps-Tools für Infrastructure-as-Code.

Mit den NetFoundry Ziti SDKs und den Ziti-Tunneln können Desktop- und mobile Anwendungen einfach erstellt werden, die Daten aus dem eigenen Rechenzentrum oder der Cloud-Umgebung abrufen, ohne dass sie auf öffentlichen IPs oder komplexen NAT-Konfigurationen gehostet werden müssen.

(ID:47722645)