Startseite > Security > Die Cloud sicher nutzen

Gastbeitrag von McAfee zu SecDevOps

Die Cloud sicher nutzen

26. Mai 2020, 12:30 Uhr | Rolf Haas

Fortsetzung des Artikels von Teil 1

Shift Left

Shift Left: Sicherheit von Anfang an

Immer öfter entscheiden sich Organisationen dafür, Workloads in cloud-nativen Cointainern zu verlagern. Zwar können auch CASB-Lösungen an dieser Stelle für Container-Sicherheit sorgen, doch im Zuge der Container-Build-Phase können fehlerhafte Container-Images entstehen. Das Schreiben von Codes muss also von Anfang an – unter der Berücksichtigung der Sicherheit – erfolgen. Hier kommt der „Shift Left Approach“ und DevSecOps ins Spiel.

Um mit Mitbewerbern und der Technikentwicklung mithalten zu können, müssen Code Releases in immer kürzeren Abständen stattfinden. Eine Beschleunigung der Release-Zyklen bringt jedoch zwei Herausforderung mit sich: Zeitdruck und die Einhaltung der Compliance. Zeitdruck begünstigt Fehler und erschwert folglich die Einhaltung von Regulierungen. Das Risiko, dass sich Schwachstellen in Codes schleichen, steigt. Im schlimmsten Fall bleiben Fehler bis nach Release in der Applikation – Lücken, die Cyber-Kriminelle ausnutzen können. Dies kann zu Ausfällen und Datenlecks führen.

Es geht also darum, kritische Schwachstellen schnell zu erkennen. Denn je eine Identifizierung erfolgt, desto schwieriger, kostspieliger und zeitintensiver wird es, die Fehler zu patchen. Hier kommt DevSecOps ins Spiel. Unter DevSecOps versteht man die engere Verzahnung von Development und Operations, wobei der Sicherheitsaspekt von Anfang an in den Software-Entwicklungszyklus mit einbezogen ist. Viele und regelmäßige Scans der inkrementell geschriebenen Codes führt zu einer schnelleren Identifikation und Behebung von Fehlern – noch bevor sie sich zu Cyber-Crime-Schlupflöchern ausweiten können. Im besten Fall erfolgt die Durchführung der Fehleranalyse mit Hilfe von Automatisierungslösungen. Software-Composition-Analysis-Tools (SCA) oder Sicherheitsscanner für Container erleichtern zwar den Einstieg in DevSecOps auf der technischen Seite, doch muss auch ein Umdenken in der Unternehmenskultur stattfinden.

Fazit

Um eine ganzheitliche Sicherheit – von Bereitstellung der Cloud-Dienste bis hin zum operativen Betrieb – zu gewährleisten, braucht es nicht nur die richtigen Tools, sondern auch eine Veränderung in der Unternehmenskultur sowie die Sensibilisierung und Schulung sämtlicher Mitarbeiter. Bitkom schätzte die Schadsumme, die im letzten Jahr durch Cyber-Kriminalität entstand, auf rund 102,9 Millionen Euro – finanzielle Einbußen, die Unternehmen durch die richtige Vorbereitung verhindern können.