Unternehmen müssen mit den steigenden Erwartungen an digitale Produkte Schritt halten. Neue Angebote müssen schnell entwickelt werden und dabei sicher und benutzerfreundlich sein. Checklisten können dabei helfen, in stressigen Situationen keine Fehler zu machen und sich an bewährte Abläufe zu halten.

 

Es ist unerlässlich, dass die Funktionalität des digitalen Services gut ist. Zusätzlich müssen auch die Sicherheit und die Verfügbarkeit gewährleistet werden. Wenn nicht, kann die IT-Security-Abteilung schnell das gesamte Projekt zum Stillstand bringen. Erlaubten Benutzern sollte der Zugang zu ihren Daten einfach gemacht werden. Unerwünschte Besucher wie Hacker müssen jedoch frühzeitig gestoppt werden. Dafür sind spezielle Methoden und Werkzeuge wichtig. Welche das sind, erfahren Sie im Folgenden.

 

Agile Produktentwicklung und Security by Design

Zwei Trends in der IT-Industrie stellen die Sicherheit von Unternehmen vor neue Herausforderungen: Einerseits werden Unternehmen immer agiler und möchten sich schneller an neue Bedürfnisse anpassen. Andererseits setzen die Unternehmen verstärkt auf Cloud-Angebote. Neue Technologien wie Container und Kubernetes-Umgebungen unterstützen diese Trends. Was bedeutet agile Sicherheit in diesem Zusammenhang und wie kann sie sichergestellt werden?

 

Unternehmen erkennen, dass die Cloud bei der Umsetzung hilft. So werden Agilität und Flexibilität gewährleistet. Dabei geht es um Verfügbarkeit und Nutzerzugriffe. Klare Vereinbarungen sind entscheidend für Sicherheit und Erreichbarkeit. Bei Problemen muss schnell analysiert und gehandelt werden.

 

Spezielle Umgebungen wie die Hybrid-Cloud oder Microservices spielen hier eine Rolle. Sie stellen eine Diversifikation in der IT-Landschaft dar und ermöglichen eine heterogene, flexible und agile IT-Landschaft. Es kommt zu einer Dezentralisierung der IT. 

 

Die Herausforderungen von agiler Security

In vielen IT-Projekten wird das Thema Sicherheit jedoch erst am Ende berücksichtigt. Dies kann zu Problemen führen. Besser wäre ein «security by design»-Konzept. 

 

Die schnelle Entwicklung bei agiler Softwareentwicklung scheint im Widerspruch zur Sicherheit zu stehen. Um Sicherheit zu gewährleisten, ist eine gründliche Planung und Umsetzung erforderlich, ohne ständige Änderungen. Doch wie kann Agile Security unter diesen Bedingungen funktionieren?

 

Hilfreiche Ansätze sind: 

 

  • Sicherheits-Perimeter

    Der Sicherheits-Perimeter bildet die Grenze zwischen verschiedenen Netzwerken und schützt diese vor Hackern und Bedrohungen. Aufgrund der Komplexität ist eine individuelle Lösung notwendig, um Schnittstellen zu verwalten und gleichzeitig die Netzwerke zu sichern.
     
  • Microgateways, Web-Applikations- und API-Sicherheit

    Microgateways vereinfachen und stabilisieren die Schnittstellen auf Client-Seite. Zu den Aufgaben von Microgateways gehören Monitoring, Logging, Traffic-Analyse und die Durchsetzung der API-Spezifikationen der Microservices. Ein zentrales Gateway kommt zum Einsatz. Dieses stellt die Web Application & API Protection (WAAP) sicher.

    Um den Schutz von Applikationen und APIs sicherzustellen, muss dieser am zentralen Perimeter durchgeführt werden. Bei APIs in Containern über Kubernetes braucht es noch mehr. Maßgeschneiderte Microgateways können einen dezentralen Schutz für die API in einem Container bieten, der mit der API mitskalieren kann.

    Benutzer greifen immer über eine Web Application and API Protection wie Airlock Gateway auf die Microservices zu.
     
  • Cloud Security Hub

    Der Cloud Security Hub der Knowledge Lab AG bietet die WAAP und Identity Access Management (IAM)-Lösung von Airlock als SaaS an. Unternehmen können von dieser bewährten Lösung profitieren und den Betrieb an einen vertrauenswürdigen Partner auslagern.
     
  • Everything as Code

    Bei dem «Everything as Code»-Prinzip werden die gesamte Infrastruktur- und Applikationseinstellung als Code bereitgestellt. Anpassungen an das System werden immer im Quellcode vorgenommen. Auch hier kann ein Microgateway helfen und Security automatisiert und als Code bereitstellen.

Agile Security

In modernen agilen Unternehmen, die hybride Cloud-Lösungen nutzen, müssen komplexe Anforderungen erfüllt werden. Nutzer, Mitarbeiter und Kunden greifen auf Hunderte von Microservices an verschiedenen Standorten zu. Es entsteht eine sich laufend verändernde IT-Landschaft mit verschiedenen Softwarestadien und Zugriffsrechten.

 

Es ist entscheidend, dass Security nicht erst am Ende berücksichtigt wird. Stattdessen sollte sie agil und parallel zur Softwareentwicklung integriert werden. Das bedeutet klare Sicherheitsprozesse während des gesamten Entwicklungszyklus.

 

Agile Security verlangt nach einem durchgängigen Fokus auf Sicherheit bei der Planung und Umsetzung von Softwarelösungen. Automatisierte Tests helfen, Sicherheitslücken frühzeitig zu erkennen und zu beheben. Durch "Security by Design" wird Sicherheit nahtlos in den Entwicklungsprozess integriert und kontinuierlich angepasst.

 

Ein effektives DevSecOps-Team ist das Ergebnis einer erfolgreichen Umsetzung von agiler Security, in dem Entwicklung, Security und Betrieb zusammenarbeiten. 

 

Agile Security – Die Benutzerfreundlichkeit

Neben der ständigen Weiterentwicklung von Sicherheitsstrategien gewinnt auch die Benutzerfreundlichkeit zunehmend an Bedeutung. Die hybride Cloud und agile Security bieten nicht nur Vorteile auf der Unternehmensseite. Sie können auch dazu genutzt werden, um Anwendungen für Mitarbeitende und Kunden benutzerfreundlich zu gestalten. 

 

Gute Beispiele dafür sind die Single Sign-on (SSO) Authentifizierung und Continuous Adaptive Trust (CAT)

 

Beim SSO wird die Authentifizierung an ein Drittsystem ausgelagert. Das Drittsystem authentifiziert den Nutzer und bestätigt der Applikation, welche Berechtigungen mit dieser Identität verbunden sind. 


Wenn das Vertrauensniveau kontinuierlich analysiert und bei Bedarf angepasst wird, spricht man von Continuous Adaptive Trust (CAT). Dafür reicht ein bloßes Identity Access Management (IAM) nicht aus. Es wird zusätzlich eine Komponente für die Erfassung und Auswertung der Risikosignale benötigt

Möchten Sie mehr über Agile Sicherheit erfahren? Laden Sie unser kostenloses Whitepaper herunter, in dem wir anhand des Beispiels der V-Bank zeigen, wie wir sichere Lösungen entwickeln.

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern