4 Merkmale entwicklerfreundlicher Cloud-Sicherheitstools
Wie Sie wahrscheinlich im Laufe der Entwicklung Ihres DevOps-Programms bereits selbst festgestellt haben, geht es beim Aufbau einer sicherheitsbewussten Entwicklerkultur nicht nur darum, Ihre Developer entsprechend zu schulen, sondern auch um die richtigen Tools. Beginnen Sie bei Ihren Überlegungen zur nächsten Phase Ihres Secure DevOps-Programms zum Beispiel damit, wie sich Ihre Toolchain weiterentwickeln könnte – sei es durch Auditing bestehender Tools, Erweiterung Ihrer CI/CD-Pipeline oder das Lösen neuer Probleme durch zusätzliche Tools.
Vielleicht hat Ihnen Ihre herkömmliche WAF in der Vergangenheit gute Dienste geleistet, aber jetzt braucht Ihr Team ein Sicherheitstool für Webanwendungen, das auf die speziellen Sicherheitsprobleme Ihres Unternehmens zugeschnitten werden kann. Oder Sie haben bereits ein anderes Security Tool, das Ihre Anforderungen erfüllt, zahlen aber hohe Gebühren für Professional Services und müssen warten, bis der Anbieter wichtige Änderungen und Verbesserungen vornimmt? Eventuell könnte auch ein zusätzlicher Layer zur DDoS-Abwehr, der näher am Angreifer liegt, Ihre Gesamtverteidigung stärken, aber Ihre aktuelle Lösung ist nicht in der Lage, Bedrohungsdaten auszuwerten und zu nutzen.
Was auch immer Ihre Beweggründe sein mögen, wenn Sie bei der Evaluierung ausschließlich Ihre Sicherheitsanforderungen berücksichtigen, verpassen Sie möglicherweise eine der wichtigsten Möglichkeiten, Ihre Secure DevOps-Kultur erfolgreich auszubauen: den Fokus auf die Entwicklerzentriertheit Ihrer Tools. Und bevor Sie sich zu viele Gedanken darüber machen, ob sich Sicherheit und Performance unter einen Hut bringen lassen, zeigen wir Ihnen, wie sich die Tooling-Landschaft entwickelt hat, damit keines dieser beiden Themen zu kurz kommt.
Nachfolgend ein praxisbezogener Blick auf die wesentlichen Bestandteile eines entwicklerzentrierten Sicherheitsprodukts.
Umfangreiche APIs und flexible Computing-Sprachen für umfassende Kontrolle
Je enger Sicherheitstools auf eine Anwendung abgestimmt werden können, desto effektiver sind sie. Suchen Sie nach einer Lösung, die vollständig konfigurierbar und API-gesteuert ist, sodass Entwickler ihre eigenen Sicherheitskontrollen für Dinge wie WAF (Web Application Firewall), ACLs (Access Control Lists), und TLS (Transport Layer Security) erstellen und anpassen können. Im Idealfall können diese Kontrollen nahezu in Echtzeit basierend auf wichtigen Erkenntnissen aus dem Traffic angepasst werden, und Entwickler können Änderungen innerhalb von Sekunden rund um den Globus veröffentlichen. Sie können sogar noch einen Schritt weiter gehen, indem Sie gewisse Vorgänge automatisieren. Zum Beispiel könnte ein Entwickler bestimmten Traffic anhand eines Alarms automatisch blockieren lassen. Wenn der Alarm erneut ausgelöst wird, ist bereits eine Closed-Loop-Lösung vorhanden, sodass nicht mehr ständig auf dieses Signal geachtet werden muss. Dieser Ansatz sorgt für eine erhebliche Reduzierung des „Sicherheitsrauschens“ und ermöglicht es Entwicklern, sich auf andere wichtige Maßnahmen zu konzentrieren.
Die richtige Plattform für Performance
Bei der Anwendungsentwicklung herrscht ein ständiges Tauziehen zwischen Performance und Sicherheit. Sicherheit ist etwas, von dem man früher immer dachte, dass es die Performance von Anwendungen verlangsamen und möglicherweise direkte Auswirkungen auf den Umsatz haben würde. Das muss aber nicht so sein. Sicherheitstools – für Komponenten wie TLS, WAF, PCI, DSS und Traffic – sollten in den Plattform-Layer integriert sein, damit sie schnell skaliert werden können, ohne dass es zu Engpässen oder Performance-Einbußen kommt. Manche Anbieter unterhalten möglicherweise separate Netzwerke für diese Komponenten. Wenn eine oder mehrere von ihnen als Add-ons betrachtet oder nachträglich hinzugefügt wird, könnten sie Ihre Abwendung verlangsamen. Wenn sie allerdings nahtlos integriert sind, bleibt die Anwendungsperformance erhalten. Dies ermöglicht es Entwicklern, Anwendungen hochperformant zu halten und gleichzeitig sichere Erlebnisse zu liefern.
Transparenz, die Sie nutzen können
Transparenz ist in agilen Entwicklungsumgebungen entscheidend, um Probleme in jeder Phase schnell zu erkennen und beheben zu können. Aber wenn es um die Unterstützung von Produktionsumgebungen geht, haben Sicherheitsteams nicht immer den Überblick, der erforderlich ist, um aktive Bedrohungen zu erkennen und abzuwehren. Wenn Sie beispielsweise Logs auf der Edge nahezu in Echtzeit streamen können, liefert Ihnen das wertvolle Erkenntnisse für eine schnelle Erkennung und Schadensbegrenzung. Damit Ihr Team datengestützte Entscheidungen treffen kann, müssen die Logdaten dorthin geschickt werden, wo sie benötigt werden, und in den Formaten zur Verfügung gestellt werden, mit denen Ihre Analysetools, Visualisierungstools oder SIEM-Plattformen (Security Information and Event Management) arbeiten. Eine Pauschallösung gibt es hier vielleicht nicht. Ihr Anbieter sollte Ihnen die von Ihnen benötigten Informationen auf die von Ihnen benötigte(n) Art(en) und Weise(n) liefern können – egal, wo.
Das Streaming von Echtzeit-Logs von Ereignissen und Störungen kann zu einer Closed-Loop-Lösung beitragen, wodurch Teams Störungen automatisch erkennen und schnell beheben können. Wenn sich der Zugang zu kritischen Daten verzögert, erschwert sich die Eindämmung und der Schaden fällt größer aus. Mit Echtzeit-Transparenz ist Ihr Unternehmen besser gerüstet, um bekannte und unbekannte Anwendungssicherheitsprobleme anzugehen, sobald sie auftreten. Seien Sie vorsichtig mit Ansätzen, die interpretierte Daten liefern. Diese Daten können zwar nützlich sein, zeigen aber nicht das ganze Bild: So fehlen Ihnen zum Beispiel forensische Einblicke in Ihre Daten, die notwendig sind, um ein Problem genauer zu ergründen und zu verstehen, was wirklich passiert ist. Indem sie kontrollieren und genau verfolgen können, was geloggt wird, können Teams bessere Untersuchungen durchführen, um zukünftige Probleme zu identifizieren und zu verhindern.
Einfache Integration in bestehende Toolchains und Compliance-Frameworks
Wenn eine neue Schwachstelle entdeckt wird oder Sie eine neue Funktion für ein bestimmtes Ereignis einführen möchten, ist es wichtig, den Nutzern Fixes und Updates so schnell wie möglich zur Verfügung zu stellen. Wenn Ihre Tools in Ihre aktuellen DevOps-Toolchains passen, sind die Entwickler nicht gezwungen, Sicherheitstests außerhalb ihrer bevorzugten Toolchain-Umgebung durchzuführen. Diese Toolchains können gängige CI/CD-Toolchains (Travis CI, Jenkins), Konfigurationsmanagement-Tools (Chef, Puppet, Terraform) und Code-Repo-Systeme (GitHub) umfassen. Alle Sicherheitskontrollen sollten in containerbasierten Entwicklungs- und Bereitstellungsumgebungen wie VMWare und Docker durchgeführt werden können. Sie müssen in die Compliance- und Corporate-Governance- und Richtlinien-Frameworks Ihrer Branche passen. Zusätzlich kann eine WAF für virtuelles Patching und als sekundäres Kontrollwerkzeug für eine cloudbasierte Sicherheitsdurchsetzung genutzt werden.
Entwicklerzentrierte Tools verlagern Security in den Kern Ihrer Anwendung.
Entwicklern Sicherheitstools zur Verfügung zu stellen, die speziell für sie entwickelt wurden, ist ein wichtiger Schritt in der Weiterentwicklung eines Secure DevOps-Teams. Diese Tools ermöglichen es Entwicklern, ihre Anwendungen von Anfang an abzusichern, wodurch Ihr gesamtes Team über bessere Sicherheitsprüfungen verfügt und die Endnutzer dadurch ein ganzheitlicheres, vertrauenswürdiges Erlebnis erhalten.