Best Practices für Applikationsschutz in Multi-Cloud-Umgebungen

0
344

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Vom modernen E-Commerce-Portal über Cloud-basierte Arbeitslösungen bis hin zu individuellen Smartphone-Apps – ohne Applikationen geht heutzutage nichts mehr. Gleichzeitig verlagern Unternehmen diese Applikationen zunehmend in die Cloud.

In einer Radware-Umfrage „ C-Suite Perspectives“ gaben 76 % der Teilnehmer an, dass sie die Cloud-Migration ihrer Applikationen und Infrastruktur beschleunigen möchten. Dabei verfolgen sie außerdem eine Multi-Cloud-Strategie. Gemäß einer Studie von Flexera nutzen 93 % der Unternehmen eine hybride Cloud-Strategie.

Die Online-Präsenz ist in der Regel die Lebensader vieler Unternehmen, daher sollten sowohl die Sicherheit als auch die Verfügbarkeit von Anwendungen für Unternehmen oberste Priorität haben.

Die Einführung einer heterogenen Cloud-Umgebung erschwert eine konsistente Verwaltung, Sicherheit und Berichterstellung. Jede Public-Cloud-Umgebung verfügt über eigene Tools und Services für Verwaltung, Überwachung, Application Delivery und Security Services.

Die Herausforderung

Diese mangelnde Konsistenz führt zu verschiedenen Herausforderungen bezüglich Applikationssicherheit:

Applikationsschutz – Angriffe auf Applikationen sind mittlerweile so vielfältig, dass eine Web Application Firewall (WAF) alleine nicht mehr ausreicht. Außerdem müssen APIs (Application Programming Interfaces) geschützt und ausgefeilte Bots abgewehrt werden. Hacker suchen ständig nach neuen Schwachstellen, um Netzwerke und Applikationen anzugreifen und sensible Daten zu stehlen. Deshalb nimmt Applikationsschutz eine kritische Rolle ein, um das Unternehmen und seine Marke zu schützen.

Häufig müssen Unternehmen mehrere Applikationsschutzlösungen konfigurieren und verwalten, die in diversen Umgebungen unterschiedliche Funktionen wahrnehmen. Zudem steigt die Angriffsfläche, sobald eine Applikation nicht mehr im unternehmenseigenen Rechenzentrum gehostet wird.

[Das könnte Sie auch interessieren: Managing Applications Across Multiple Data Centers: A Case Study]

Komplexität – Die Verlagerung von Applikationen in die Cloud macht Cybersicherheit noch komplizierter. Cloud-Anbietern fehlt es an umfassenden Sicherheitskontrollen, und jeder Anbieter verfolgt ein eigenes Sicherheitskonzept.

Umfassende Services für Netzwerke, Applikationen und Sicherheit erfordern Fachkenntnisse und teamübergreifende Zusammenarbeit. Dadurch sind Konflikte sowie Verzögerungen bei Tests und Bereitstellung vorprogrammiert.

Das Ergebnis ist ein mangelhafter Schutz von Applikationen.

Praxisrelevante Transparenz – Wenn Applikationen in privaten und Public Clouds bereitgestellt werden, fallen eine Reihe kritischer Aufgaben an: Überwachung der Performance und Benutzerfreundlichkeit, Erkennung von SLA-Verstößen, Verwaltung von Sicherheitsvorfällen bei Applikationen sowie Ursachenforschung. Durch die nötige Transparenz und Analyse dieser Faktoren an zentraler Stelle gewährleisten Unternehmen, dass sie mit ihren Applikationen eine erstklassige digitale Umgebung bieten.

[Das könnte Sie auch interessieren: How WAFs Can Mitigate The OWASP Top 10]

Ungeplante Kosten – Sie müssen die Kosten der dynamischen, bedarfsgerechten Zuweisung von Application-Delivery- und Applikationsschutz-Services in heterogenen Umgebungen im Griff behalten können. Warum? Weil allzu viele Unternehmen, die Public-Cloud-Umgebungen nutzen, vor ungeplanten Kosten stehen, sobald Services bei steigender Auslastung skaliert werden.

Automatisierung – In der Public Cloud gilt es, die Servicebereitstellung schnell zu automatisieren und Applikationsressourcen dynamisch zu skalieren. Denn die Preise hängen von der Nutzung bzw. vom Ressourcenverbrauch ab. Alles muss von A bis Z automatisiert werden, um manuelle Prozesse in automatische Schritte umzuwandeln, die keine Expertise erfordern.

Serviceverfügbarkeit – Unternehmen, die Backend-Abläufe automatisieren möchten, benötigen ausreichende Verfügbarkeit, um Benutzeranfragen zu beantworten und Ressourcen automatisch zu skalieren. Das bedeutet, dass Sie die Möglichkeit haben sollten, Dienste bei Bedarf hinzuzufügen und zu entfernen, ohne manuell in die Lizenzierung eingreifen zu müssen, und dass Sie ungenutzte Kapazitäten zurückgeben können, wenn sie nicht mehr gebraucht werden. Dies spart Zeit und Geld.

Lock-in-Effekt – Dieser Effekt entsteht, wenn ein Cloud-Anbieter als einziger über bestimmte Applikationsschutz- und Skalierungsfunktionen verfügt. Darüber hinaus kann mangelnde Cloud-übergreifende Standardisierung eine zusätzliche (technische) Beratung nötig machen.

Kritische Funktionen

Wer Apps in die Cloud verlagern, schützen und verwalten möchte, benötigt geeignete Lösungen für die zuvor genannten Herausforderungen. Dabei sind folgende Elemente unverzichtbar:

  • Umfassende, leicht integrierbare Sicherheitstechnologien für Applikationen
  • Dieselben Lösungen und Funktionen für verschiedene physische, virtuelle und Cloud-basierte Umgebungen
  • KPIs, die mehrere Umgebungen abdecken und übergreifende Problembehebung vereinfachen
  • Multi-Cloud-Umgebungen dürfen nicht zu einem Kostenanstieg führen, der ihrem ursprünglichen Zweck (nämlich Kostensenkung) widersprechen würde!

Integrierte Applikationssicherheit: Die gewählte Lösung muss eine vollständige Reihe von Modulen umfassen, die höchsten Applikationsschutz für alle Angriffsflächen gewährleisten:

  • Web Application Firewall zum Schutz vor webbasierten Angriffen (OWASP Top 10 und weitere)
  • Bot Manager zum Schutz vor automatisierten Bedrohungen in Form von Bots
  • Umfassender API-Schutz und Einblick in Bedrohungen, die gegen APIs gerichtet sind
  • Bedrohungsinformationen zum Schutz gegen unbekannte und aktive Angreifer

Schnellere Bereitstellung: Einfache Bereitstellung, Verwaltung und Wartung sind ein Muss – und das auch ohne Expertenwissen. Angenommen, es gibt mehrere Beteiligte, z. B. die Netzwerk-, Sicherheits- und Entwicklungsteams. Dann muss das Netzwerkteam die Lösung an Tag 1 leicht implementieren können. An Tag 2 verwenden die Entwicklungs- und Sicherheitsteams vordefinierte Sicherheitsrichtlinien als Self-Service-Vorlagen. Diese benutzerfreundlichen Vorlagen wurden von Sicherheitsexperten erstellt. Ab Tag 3 müssen die Richtlinien laufend optimiert und weiterentwickelt werden. Deshalb sollte die Lösung auch Lernen ermöglichen.

[Das könnte Sie auch interessieren: Distribute Application Workloads Across Multiple Clouds & Data Centers]

Standardisierung und Konsistenz: Als Ihre Applikationen noch vor Ort gehostet wurden, hatten Sie alles unter Kontrolle. In Multi-Cloud-Umgebungen ist die Anwendung einheitlicher Richtlinien nicht mehr ganz so einfach. Dank einer zentralisierten Konfigurationsebene können Sie Richtlinien übergreifend verwalten und aktualisieren.

Praxisrelevanz: Sie müssen KPIs und Sicherheitskonzepte genau verfolgen – und die gewonnenen Informationen in konkrete Maßnahmen umsetzen können. Ein Beispiel: Wenn zu viele Fehlalarme auftreten, sollten Sie die entsprechende Richtlinie auch ohne Hilfe von Sicherheitsexperten anpassen können.

Kostenoptimierung: Zentralisierte Kostenkontrolle und Mengenrabatte liegen schon länger im Trend. Stellen Sie sicher, dass trotz separater Technologien für Applikationsschutz eine gewisse Preiselastizität besteht. Nicht mehr benötigte Kapazität sollte sich ohne Zusatzkosten in einer anderen Umgebung erneut nutzen lassen.

Der Schutz einer hybriden oder Multi-Cloud-Umgebung muss für Unternehmen weder komplex noch teuer sein. Mit geeigneten Lösungen und Tools können Sie das Geschäftspotenzial von eigenen Rechenzentren, öffentlichen und privaten Clouds voll ausschöpfen.

Vorheriger ArtikelForrester ernennt Radware zum Leader für DDoS-Schutz
Nächster ArtikelSicherheit und DevOps: Alles fest im Griff
Prakash Sinha is a technology executive and evangelist for Radware and brings over 29 years of experience in strategy, product management, product marketing and engineering. Prakash has been a part of executive teams of four software and network infrastructure startups, all of which were acquired. Before Radware, Prakash led product management for Citrix NetScaler and was instrumental in introducing multi-tenant and virtualized NetScaler product lines to market. Prior to Citrix, Prakash held leadership positions in architecture, engineering, and product management at leading technology companies such as Cisco, Informatica, and Tandem Computers. Prakash holds a Bachelor in Electrical Engineering from BIT, Mesra and an MBA from Haas School of Business at UC Berkeley.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here