Applikationssicherheit im Zeitalter der Microservices

0
128

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Immer mehr Unternehmen unterteilen ihre Applikationen in Microservices und nutzen eine Containerarchitektur, die sich perfekt dafür eignet. Gleichzeitig hat sich die Verantwortung für den Schutz dieser Umgebungen verändert, denn die Palette der Sicherheitsrisiken und Schwachstellen ist vielfältiger geworden.

Wir befinden uns an einem kulturellen Wendepunkt zwischen der Rolle von DevOps und der des CISO. Während CISOs mit allen Mitteln die Sicherheit des Unternehmens gewährleisten müssen, betrachten DevOps-Teams vor allem Agilität als entscheidenden Faktor für den Geschäftsbetrieb. Deshalb verfolgt DevOps in Bezug auf Sicherheit häufig einen „Gut genug“-Ansatz (oder manchmal sogar einen „Was soll‘s“-Ansatz).

Was bedeutet dies für Unternehmen und ihre Cybersicherheit?

Im Mittelpunkt unserer Marktstudie von 2019 stand die DevOps- und DevSecOps-Community. Wir wollten herausfinden, wie häufig DevOps-Teams eingerichtet werden und wie viel Einfluss sie auf Entscheidungen über Informationssicherheit haben. Dazu haben wir fast 300 Fachleute aus Unternehmen aller Größen weltweit befragt. Im Folgenden finden Sie eine Zusammenfassung der Ergebnisse.

Unternehmen nutzen neuartige Technologien und Konzepte

Unternehmen sind sich darüber bewusst, dass die Einführung neuer Frameworks im Zuge der digitalen Transformation eine gewisse Aufgeschlossenheit (und ein Budget) für neue Lösungen erfordert. Außerdem testen und/oder erwerben sie zusätzliche Sicherheitsmaßnahmen.

[Das könnte Sie auch interessieren: 4 Emerging Challenges in Securing Modern Applications]

Ein Beispiel: 67 % der befragten Unternehmen führen Microservices/Container aus und 53 % von ihnen nutzen bereits Sicherheitstechnologie für Container. 43 % vertrauen auf eine dedizierte Lösung zum Schutz serverloser Funktionen während des Betriebs, damit keine Ausfälle oder Datenlecks entstehen.

Das klingt zunächst vielversprechend, erinnert aber ein bisschen an „Spaghetti an die Wand werfen“ – was kleben bleibt, hat den Test bestanden. So werden verschiedene Technologien angesammelt, ohne jedoch ihre Interoperabilität zu optimieren. Man hofft einfach darauf, dass mehrere Lösungen zusammen die Sache schon richten werden.

Weil Microservices und Container-Management immer noch als neuartige Technologien gelten, befinden sich Unternehmen weiterhin in der Lernphase. Das heißt, sie müssen die richtigen Lösungen und Praktiken für die neue Infrastruktur und die zugehörigen Datenflüsse bestimmen. Dabei verlassen sie sich leider zu stark auf die bisherigen Sicherheitsmodelle. So entstehen unerwartete Sicherheitslücken, die zu Datenlecks führen.

Unternehmen befolgen die nötigen Sicherheitspraktiken

Unternehmen sind nicht nur bereit, neue Sicherheitstechnologien einzuführen, sondern halten sich dabei auch an die „heiligen Praktiken“ der Informationssicherheit. Das belegen folgende Zahlen:

  • 70 % haben Sicherheitskontrollen für Ost-West-Traffic eingerichtet.
  • Mehr als die Hälfte führen über ihre Sicherheitstests und WAF-Lösungen hinaus auch Code-Reviews durch.
  • 52 % betrachten die Sicherheitsqualität als wesentliches Kriterium bei der Auswahl von Technologien für Applikationssicherheit.

Dies spiegelt sich auch in den API-Sicherheitspraktiken wider. Wie die Grafik unten zeigt, sind sich Unternehmen über die Sicherheitsrisiken von APIs bewusst und gehen aktiv dagegen vor. Ein kluger Schachzug, denn APIs bilden heute das Bindeglied zwischen Tools, Apps, Systemen und Umgebungen.

[Das könnte Sie auch interessieren: How to Prevent Real-Time API Abuse]

Die Einhaltung grundlegender Sicherheitspraktiken, die Einführung von Rollen wie DevSecOps (mehr als 90 % der Unternehmen verfügen bereits über DevOps- oder DevSecOps-Teams, wobei 58 % angaben, dass das Verhältnis von DevSecOps- zu Entwicklungsmitarbeitern zwischen 1:6 und 1:10 liegt) sowie die Nutzung zusätzlicher Technologien für Applikationssicherheit helfen Unternehmen, ein hohes Maß an Vertrauen in ihre Sicherheit zu gewinnen:

Applikationen werden weiterhin gehackt

Hacker sind nach wie vor aktiv, sodass Angriffe auf Applikationen eine laufende Bedrohung bleiben. 88 % der Befragten verzeichneten das ganze Jahr über Angriffe, und bei 90 % kam es zu Datensicherheitsverletzungen. Zu den vielfältigen Angriffen, denen die Befragten tagtäglich ausgesetzt waren, zählen Zugriffsverletzungen, Session-/Cookie-Poisoning, SQL-Injections, Denial of Service, Protokollangriffe, Cross-Site-Scripting, Cross-Site-Request-Forgery und API-Manipulationen.

[Das könnte Sie auch interessieren: Threats on APIs and Mobile Applications]

56 % bemängelten, dass die Grenzen der Sicherheitsverantwortung zwischen ihnen und ihrem Public-Cloud-Dienstleister nicht klar festgelegt sind. Viele von ihnen haben jede Woche mit verschiedenen Arten von Angriffen auf ihre Applikationen zu kämpfen.

API-Gateways scheinen hier übrigens keine große Hilfe zu sein. Sie dienen in erster Linie zur Authentifizierung (37 %) und IP-Filterung (30 %) und für einfaches Load Balancing (28 %), können aber nicht alle Formen von API-Manipulationen oder -Missbrauch blockieren.

Lösungen, die auf statischen Regeln und strenger Heuristik basieren, können in der Regel keine ausreichende Applikationssicherheit gewährleisten, weil ständig Änderungen vorgenommen werden. Die Hälfte der Befragten gab an, dass sich ihre Apps laufend ändern, manchmal sogar mehrmals am Tag – eine menschliche Kontrolle hierüber ist schlichtweg nicht möglich. Dazu müssen Änderungen erkannt und die zugehörigen Richtlinien präzise angepasst, validiert und durchgesetzt werden. Ein klarer Fall für Automatisierung.

Durch diesen rasanten Wandel geht mehr Macht auf den neuen Einkäufer über, der für die agile Entwicklung und Bereitstellung von Applikationen und Microservices verantwortlich ist, die SDLC-Umgebung konzipiert und die Tools auswählt. Außerdem steigt der Einfluss der neuen Rollen DevOps und DevSecOps auf Sicherheitsentscheidungen und -praktiken. Genau das war die Hypothese, die wir überprüfen wollten.

[Das könnte Sie auch interessieren: Are Your DevOps Your Biggest Security Risks?]

Wer hat das Sagen?

Die Sicherheitsmitarbeiter sitzen eindeutig am kürzeren Hebel. Den größten Einfluss auf die Auswahl der Tools, Richtliniendefinition und die Implementierung von Applikationssicherheitslösungen hat nach wie vor die IT-Abteilung (sie verwaltet das Budget; trotzdem ist es alarmierend, dass 70 % der CISOs nicht das letzte Wort haben).

Digitale Transformation ist nicht nur digital

Die Schlussfolgerung aus unserer Studie lautet, dass Angriffe immer noch erfolgreich sind, weil Unternehmen die Auswirkungen der digitalen Transformation auf ihren Betrieb nicht vollständig voraussehen.

Technologie bildet die Speerspitze der digitalen Transformation. Deshalb werden neue Technologien und Frameworks gekauft und implementiert (das ist der einfache Teil!) – doch Technologie allein kann keine Wunder bewirken. Trotz der Bereitschaft von Unternehmen, geeignete Sicherheitspraktiken einzuhalten, bleiben Angriffe erfolgreich. Warum?  Weil Unternehmen den zweiten Schritt der digitalen Transformation versäumen, nämlich den nicht-digitalen Schritt, der darin besteht, neue Kompetenzen zu erwerben, Geschäftsprozesse anzupassen und Rollen und Verantwortlichkeiten neu zu definieren.

An diesen Versäumnissen scheitert die Applikationssicherheit. Erst wenn Sicherheitsexperten bei ihrer Arbeit freie Hand bekommen und Sicherheit als Business Enabler gilt, kann Sicherheit endlich mit der Geschwindigkeit des Business mithalten.

Nächster ArtikelSPARK Matrix™ 2020: Radware in Leader-Position für Bot-Management
Ben Zilberman is a director of product-marketing, covering application security at Radware. In this role, Ben specializes in web application and API protection, as well as bot management solutions. In parallel, Ben drives some of Radware’s thought leadership and research programs. Ben has over 10 years of diverse experience in the industry, leading marketing programs for network and application security solutions, including firewalls, threat prevention, web security and DDoS protection technologies. Prior to joining Radware, Ben served as a trusted advisor at Check Point Software Technologies, where he led channel partnerships and sales operations. Ben holds a BA in Economics and a MBA from Tel Aviv University.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here