Die Security-DNA von Fastly: Ein Blick auf unsere Sicherheits-, Datenschutz- und Vertrauenskultur
Wenn Sie Fastly kennen, wissen Sie, dass wir einige bahnbrechende Herausforderungen in Angriff genommen haben – zum Beispiel das Cachen dynamischer Inhalte und Security in einer hochperformanten Serverless-Umgebung. Und da wir an erster Stelle Entwickler sind, konzentrieren wir uns darauf, Entwicklern unübertroffene Befugnisse, Kontrolle und Transparenz zu geben. Was Sie jedoch vielleicht nicht über uns wissen, ist, dass wir auch stark in das Thema Security investieren.
Die Sicherheitsprodukte, auf die sich unsere Kunden verlassen – wie WAF, DDoS und TLS –, sind die sichtbarsten Aspekte unserer Arbeit im Bereich Security. Aber es gibt auch noch andere Bereiche, die genauso wichtig sind, wenn nicht sogar noch wichtiger. Wir sind davon überzeugt, dass wir uns nur den Ruf eines vertrauenswürdigen Security-Anbieters verdienen können, wenn wir Entwicklern die Zügel in die Hand geben, Investitionen in die Community, die Entwicklung von Produkten und die Lösung innovativer Anwendungsfälle tätigen und eine reichhaltige interne Kultur des Vertrauens und der Sicherheit schaffen. Und genau deshalb haben wir Sicherheits-Layer in unsere Plattform, unsere Produkte und unser Nutzererlebnis integriert – und sie dadurch zugleich auch weniger sichtbar gemacht.
Heute wollen wir diese weniger sichtbaren Sicherheitspraktiken in den Mittelpunkt stellen. Entwickler können nur dann schnell und unbeschwert arbeiten, wenn sie es auf sichere Art und Weise tun können – und dazu brauchen sie von uns mehr als nur Sicherheitsprodukte.
Ein sicheres Netzwerk mit umfassender Transparenz und Kontrolle
Bevor ich zu Fastly kam, habe ich zehn Jahre für Sicherheitsunternehmen gearbeitet. Etwas, das mich an der Branche schon immer gestört hat, ist, dass Sicherheit von Natur aus ein Add-on war – ein nicht enden wollender Strom von Dingen, die man kaufen musste, um Netzwerke, Endpoints und Cloud-Infrastrukturen gegen zunehmend unvorhersehbare Bedrohungen zu schützen. Fastly hat diese Denkweise auf den Kopf gestellt. Wir wissen, dass Sicherheit für Entwickler dann am besten funktioniert, wenn sie die Bereitstellung nicht behindert. Deshalb haben wir sie zu einem integralen Bestandteil unserer Plattform gemacht.
Unsere Plattform liegt genau zwischen den Anwendungen unserer Kunden und den Anfragen ihrer Nutzer, was unvergleichbar viele Möglichkeiten für Transparenz und Enforcement schafft. Wir haben diese privilegierte Position voll ausgenutzt, um Standardmechanismen einzubauen, die Entwicklern mehr Kontrolle über Bedrohungen geben. Volle Transparenz und Reaktionsmöglichkeiten in nahezu Echtzeit – wie Logs, die an jedes SIEM gestreamt werden können, ein einziges, enorm skalierbares Netzwerk und die Möglichkeit, nutzerdefinierte Regeln zu schreiben und sie in Sekundenschnelle global bereitzustellen – sind nur ein Teil unseres Kernprodukts. Es handelt sich dabei auch um leistungsstarke Sicherheitstools, die durch Innovationen und nicht durch Kosten integriert werden.
Vertrauen und Datenschutz geht alle etwas an
Zwei der am wenigsten sichtbaren Grundpfeiler unserer Sicherheitsstrategie sind gleichzeitig auch zwei der wirksamsten: unser Umgang mit Datenschutz und welche Kunden wir bedienen. Sie sind so effizient, dass sie Teil unserer Kultur und Ethik geworden sind. Diese kritischen Elemente unserer Arbeitsweise tragen dazu bei, dass wir auf unserer Plattform weniger Risiko zulassen und letztlich unseren Kunden mehr Sicherheit bieten können.
Im Mittelpunkt fast aller Diskussionen über die Sicherheit stehen Daten. In der Produktentwicklung steht der Datenschutz jedoch für Juristen und Sicherheitsteams allzu oft erst an zweiter Stelle, anstatt eine integrierte Zusammenarbeit zwischen Entwicklern, Produktverantwortlichen und Datenschutzexperten, die von Anfang an Bestandteil der Roadmap ist. Wir gehen anders mit Daten um. Es ging uns nie darum, die Daten unserer Kunden oder ihrer Endnutzer auszunutzen. Im Gegenteil, unsere Features wurden entwickelt, um unseren Kunden die Kontrolle über ihre Daten zu ermöglichen. Mit unserem Echtzeit-Logging können unsere Kunden zum Beispiel die gewünschten Informationen erfassen, auf unserer Seite werden diese Logs jedoch nicht gespeichert. Unser Data-Governance-Programm ist funktionsübergreifend, und wir stellen wichtige Fragen zum Thema Daten,bevor wir überhaupt mit der Entwicklung beginnen.
Eine weitere Art der Risikominderung besteht darin, uns wie gute Nachbarn zu verhalten. Wir wollen, dass das Gute im Internet gedeiht. Deshalb arbeiten wir nicht wissentlich mit Kunden und Partnern zusammen, die Gewalt oder Hass propagieren. Wenn Sie Geschäfte mit vertrauenswürdigen und integren Unternehmen und Personen machen möchten, befinden Sie sich mit Fastly in guter Gesellschaft.
Eine geringere Angriffsfläche
Eine der spannendsten Maßnahmen, mit denen wir die Sicherheit auf unserer Plattform erhöhen, ist das konkurrenzlose, in sich abgeschlossene System Compute@Edge. Serverless-Provider haben zwar viele operative Probleme gelöst, aber ein neues Konfliktpotenzial zwischen Performance und Sicherheit geschaffen. Mit dem Versuch, das Performance-Problem durch die Wiederverwendung von Umgebungen zu lösen, schufen sie eine neue Art von Schwachstellen. Die Herangehensweise von Compute@Edge ist völlig anders. Anstatt weiterhin mit langwierigen Prozessen zu arbeiten, wird bei jeder Anfrage an die Plattform eine neue Sandbox aufgesetzt, die für eine begrenzte Zeit automatisch Code ausführt und ihn dann schnell wieder vernichtet. Dies sorgt für eine deutlich geringere Angriffsfläche und macht es Angreifern um einiges schwerer.
Compute@Edge ist nicht nur einen neuer Ort, an dem Serverless-Funktionen ausgeführt werden. Die damit einhergehende Sicherheit eröffnet auch völlig neue Möglichkeiten für die Arten von Anwendungen, die auf der Edge sicher erstellt werden können. Wir nutzen diese sicherere Grundlage bereits, um neue Lösungen für das Logging von Netzwerkfehlern, das Lesen und Schreiben des vollständigen HTTP-Streams und mehr zu entwickeln.
Wir schaffen ein vertrauenswürdigeres Internet
Zu den weniger offensichtlichen Antriebsfaktoren für Security bei Fastly gehören unsere Unternehmensgrundsätze. Um eine ebenso sichere wie leistungsfähige Plattform zu schaffen, müssen wir auch ein vertrauenswürdigeres Internet aufbauen. Dies bedeutet wiederum, dass wir über Fastly hinausdenken und an dem Ökosystem als Ganzem arbeiten müssen. Was uns dabei motiviert sind unsere Neugier, Leidenschaft und intensive Zusammenarbeit. Hier ein paar gute Beispiele:
Wir entwickeln unsere Plattform parallel zu den ständig neuen Internetprotokollen immer weiter und haben das Glück, dass viele der wichtigsten Akteure bei Fastly arbeiten. Unsere Spezialisten arbeiten mit der gesamten Branche zusammen, um die erhöhte Sicherheit und Innovation von Kernprotokollen wie QUIC, HTTP/3 und TLS voranzutreiben und sicherzustellen, dass wir diese Fortschritte auf Fastlys Plattform bringen und die Vorteile des modernen Internets voll nutzen können.
WebAssembly Programme bieten stärkere Sicherheitsgarantien als nativer Code und können Side-Channel- und Pufferüberlaufangriffe effektiver bekämpfen. Dies hat enorme Auswirkungen auf die Zukunft der Sicherheit von Webanwendungen. Daher arbeiten wir mit der Bytecode Alliance zusammen und investieren in das Wasm Ökosystem, um die Entwicklung von neuen Standards voranzutreiben.
Der Aufbau eines vertrauenswürdigen Internets bedeutet, explizit Raum für Organisationen zu schaffen, die Gutes vorhaben. Es ist uns eine Ehre, Organisationen wie Abuse.ch, Let's Encrypt und Quad9 zu unterstützen, die außergewöhnliche Arbeit leisten, um sicherere Onlineerlebnisse möglich zu machen.
Was steht für Fastly – das nicht ganz so geheime Sicherheitsunternehmen – als nächstes an?
Da sich der Code immer weiter aus dem Datacenter hinausbewegt und Anwendungen zunehmend dezentralisiert sind, wird die Edge zu einem immer wichtigeren Ort für die Absicherung von Websites und Apps. Wir hoffen, dass Unternehmen, die ihre Architekturen neu gestalten und ihre Anwendungen modernisieren, zunehmend auf Fastly vertrauen – nicht nur wegen unserer Security-Produkte, sondern auch wegen der Vertrauensbasis und Sicherheit, auf der sie beruhen.
Wir werden Sicherheit weiterhin zu einem festen Bestandteil unserer Plattform, unseres Geschäfts und unserer Kultur machen. Und wir werden uns weiterhin auf die Entwicklung ausgefeilter Sicherheitstools konzentrieren, die Entwickler mit Stolz als Erweiterung ihrer eigenen Kernprodukte betrachten können – mehr dazu in Kürze. Wir hoffen, dass wir das Thema durch unsere Erkenntnisse und Einblicke in unsere Entscheidungsfindung für Sie ein wenig transparenter machen können.