Verlagerung der IT-Workloads in die Cloud ändert Sicherheitsstrategien

Das SANS Institute, der weltweit führende Anbieter von Cyber Security-Trainings und -Zertifizierungen, stellt die Ergebnisse der Umfrage zu Rethinking the Sec in DevSecOps: Security as Code in der gleichnamigen Studie von den SANS-Instructors Jim Bird und Eric Johnson vor. Mit der Verlagerung von IT-Workloads in die Cloud ändert sich wie Unternehmen Systeme entwickeln und bereitstellen – und wie IT-Security umgesetzt werden muss. Der Report gibt Antworten auf die Fragen, was dieser Wandel für das moderne Unternehmen und sein Sicherheitsprogramm bedeutet.

„Aus IT-Sicherheit wird bei DevSecOps Security Engineering. Das bedeutet nicht weniger als das Schreiben von Security- und Compliance-Richtlinien im Code. Anwendungscode und Servicekonfigurationen muss überprüft, gescannt und getestet werden. Die Verantwortlichen müssen ein Verständnis dafür entwickeln, wie Anwendungsentwicklungs- und System-Engineering-Teams arbeiten und ihnen helfen, Tools zu finden und zu implementieren, um Sicherheitstests direkt in die Entwicklung zu integrieren. Security as Code erfordert daher neue Fähigkeiten und neue Denk- und Arbeitsweisen: kollaborativer und transparenter, schneller und iterativer. Es erfordert, sich auf Automatisierung zu stützen, um allgemeine Probleme zu lösen und Kosten und Risiken zu reduzieren,“ fassen Bird und Johnson die Ausgangssituation zusammen.

Einige wichtige Ergebnisse des SANS -Reports:

• Mehr als die Hälfte (57 %) der Unternehmen nutzen drei oder mehr Cloud-Plattformen. Jede Cloud-Plattform ist einzigartig: Die Konfigurationsmodelle unterscheiden sich, ebenso die APIs und Services. Daher unterscheiden sich auch die Betriebs- und Sicherheitsrisiken, was es schwierig macht, sie zu verstehen und zu verwalten. Cloud-agnostische Tools helfen zunehmend dabei, Kosten und Risiken zu reduzieren.
• Grundlegende Softwareentwicklungspraktiken wie CI/CD und Testautomatisierung sind der Schlüssel zur Bereitstellungsgeschwindigkeit und zu kontinuierlichen Sicherheitstests. Wenn Entwicklungsteams ihre Build-/Testarbeit nicht automatisieren, wird es für sie schwieriger, automatisierte Sicherheitstests zu implementieren. Während 66 Prozent der Unternehmen derzeit Builds automatisieren, folgt nur die Hälfte der Unternehmen (52 %) der CI und nutzt die Vorteile automatisierter Tests.
• Entwicklungsteams werden immer schneller, doch auch die Angreifer werden immer schneller. Nur die Hälfte der Unternehmen (51 %) patcht oder behebt kritische Sicherheitsschwachstellen und andere kritische Sicherheitsrisiken innerhalb einer Woche nach der Identifizierung dieser Risiken. Unternehmen müssen DevOps und agile Praktiken sowie automatisierte Build-Chains und automatisierte Tests nutzen, um Patches schneller und zuverlässiger bereitzustellen.