Infrastructure-as-Code-Scanning
Qualys CloudView ermöglicht DevSecOps-Teams durchgehend sicher zu arbeiten
Neue Funktion zur Erkennung von Sicherheitsrisiken in Cloud-Ressourcenkonfigurationen
Qualys, Inc. (NASDAQ: QLYS), Pionier und führender Security-Anbieter für cloudbasierte IT-, Security- und Compliance-Lösungen, gibt bekannt, dass er seine CloudView-App um Infrastructure as Code (IaC)-Scans erweitert. Dies ermöglicht die Erkennung und Behebung von Fehlkonfigurationen in einem frühen Stadium des Entwicklungszyklus und beseitigt damit Risiken in der Produktionsumgebung.
Wie im (ISC)2 Cloud Security Report 2021 dargelegt, ist die größte Gefahr für Sicherheitsexperten bei öffentlichen Clouds die fehlerhafte Konfiguration von Ressourcen. Fehlkonfigurationen werden oft erst nach der Bereitstellung entdeckt, wodurch Unternehmen eine viel größere Angriffsfläche haben und anfälliger für Angriffe sind. Unternehmen nutzen zunehmend IaC, um Cloud-native Anwendungen zu implementieren und ihre Cloud-Infrastruktur bereitzustellen. Daher ist eine möglichst frühe Berücksichtigung von Sicherheitsaspekten wichtig, um Fehlkonfigurationen bereits in IaC Templates zu erkennen und zu beheben. Die Erkennung von Sicherheitsproblemen zu einem früheren Zeitpunkt im Entwicklungszyklus beschleunigt die sichere Bereitstellung von Anwendungen und fördert eine bessere Zusammenarbeit zwischen DevOps- und Sicherheitsteams. Noch wichtiger ist, dass dadurch bessere Sicherheitsrichtlinien in der Produktionsumgebung durchgesetzt werden.
„Führungskräfte im Bereich Sicherheits- und Risikomanagement, die die Sicherheit der Cloud-Infrastruktur verwalten, sollten sichere Umgebungen schaffen, um Entwicklerinnovationen zu erleichtern, indem sie intelligente Sicherheitstools in die Bereitstellungspipelines integrieren (z. B. Infrastructure-as-Code [IaC]-Scanning), um Risiken frühzeitig zu erkennen und vor unsicheren Workloads zu warnen, bevor diese bereitgestellt werden.“ Gartner®, Cool Vendors™ in Cloud Security Posture Management, Tom Croll, Neil MacDonald, Mark Wah, Prateek Bhajanka, 9. Juni 2021. Qualys CloudView ermöglicht eine vollständige Transparenz und Sicherheitskontrolle von Public-Cloud-Workloads und bewertet jetzt IaC-Templates auf Fehlkonfigurationen. IaC-Bewertungen werden in den Softwareentwicklungszyklus integriert, um sicherzustellen, dass nur Code bereitgestellt wird, der den Sicherheitsstandards des Unternehmens entspricht. Der Cloud-Plattform-Ansatz von Qualys bietet vollständige Transparenz, indem er Laufzeit- und Build-Time-Posture sowie die Drift zwischen beiden in einer einzigen Ansicht zusammenführt.
Die neuen Funktionen ermöglichen Unternehmen:
Bewertung der Sicherheitslage in der gesamten CI/CD-Pipeline
Unternehmen können nun die Sicherheitslage zu einem früheren Zeitpunkt im Entwicklungszyklus bewerten und so das Sicherheitsrisiko nach der Bereitstellung drastisch reduzieren. CloudView IaC Security bietet eine Befehlszeilenschnittstelle zur lokalen Durchführung einer Sicherheitsbewertung. Um die Bereitstellung zu unterbinden, wenn Fehlkonfigurationen entdeckt werden, sind auch Plug-ins für Quellcode-Repositories beim Check-in und CI/CD-Plattformen verfügbar.
Einhaltung bewährter Sicherheitsverfahren
CloudView IaC Security macht es Unternehmen leicht, die von den Anbietern von Cloud-Plattformen propagierten Best Practices für die Sicherheit zu übernehmen. CloudView IaC Security unterstützt beliebte IaC-Sprachen wie Terraform, CloudFormation (CF) und Azure Resource Manager (ARM). Außerdem werden Konfigurationen anhand von Tausenden von bewährten Sicherheitspraktiken geprüft, die von Amazon Web Services, Azure, Google Cloud Platform und Standardgremien wie dem Center for Internet Security vorgegeben werden. Darüber hinaus liefert CloudView automatisch Vorschläge zur Abhilfe, wenn eine nicht konforme Konfiguration entdeckt wird.
Sicherstellung der Einhaltung von Branchenvorgaben
Mit CloudView IaC Security können Unternehmen die Einhaltung von mehr als 20 Branchenvorschriften wie PCI, HIPAA und NIST 800-53 sicherstellen. Das reduziert die Belastung für die DevOps-Sicherheitsteams und sorgt für einen optimierten Prozess bei vorgeschriebenen Compliance-Audits.
„Mit der Erweiterung von CloudView mit der IaC-Bewertung erweitert Qualys seine Cloud Security Posture Management (CSPM)-Lösung, um Shift-Left-Anwendungsfälle zu handhaben“, sagt Sumedh Thakar, Präsident und CEO von Qualys . „Durch die Nutzung der Qualys Cloud-Plattform und ihrer integrierten Apps können Kunden nun die Sicherheitsautomatisierung in alle Phasen des Lebenszyklus ihrer Anwendungen einführen und so über ein einheitliches Dashboard vollständige Transparenz sowohl für die Laufzeit als auch für die Build-Time gewährleisten.“
Gartner-Haftungsausschluss
GARTNER und COOL VENDORS sind eingetragene Marken und Dienstleistungsmarken von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und werden hier mit Genehmigung verwendet. Alle Rechte vorbehalten.
