Unternehmen müssen mit den steigenden Erwartungen an digitale Produkte Schritt halten. Neue Angebote müssen schnell entwickelt werden und dabei sicher und benutzerfreundlich sein. Checklisten können dabei helfen, in stressigen Situationen keine Fehler zu machen und sich an bewährte Abläufe zu halten.
Es ist unerlässlich, dass die Funktionalität des digitalen Services gut ist. Zusätzlich müssen auch die Sicherheit und die Verfügbarkeit gewährleistet werden. Wenn nicht, kann die IT-Security-Abteilung schnell das gesamte Projekt zum Stillstand bringen. Erlaubten Benutzern sollte der Zugang zu ihren Daten einfach gemacht werden. Unerwünschte Besucher wie Hacker müssen jedoch frühzeitig gestoppt werden. Dafür sind spezielle Methoden und Werkzeuge wichtig. Welche das sind, erfahren Sie im Folgenden.
Agile Produktentwicklung und Security by Design
Zwei Trends in der IT-Industrie stellen die Sicherheit von Unternehmen vor neue Herausforderungen: Einerseits werden Unternehmen immer agiler und möchten sich schneller an neue Bedürfnisse anpassen. Andererseits setzen die Unternehmen verstärkt auf Cloud-Angebote. Neue Technologien wie Container und Kubernetes-Umgebungen unterstützen diese Trends. Was bedeutet agile Sicherheit in diesem Zusammenhang und wie kann sie sichergestellt werden?
Unternehmen erkennen, dass die Cloud bei der Umsetzung hilft. So werden Agilität und Flexibilität gewährleistet. Dabei geht es um Verfügbarkeit und Nutzerzugriffe. Klare Vereinbarungen sind entscheidend für Sicherheit und Erreichbarkeit. Bei Problemen muss schnell analysiert und gehandelt werden.
Spezielle Umgebungen wie die Hybrid-Cloud oder Microservices spielen hier eine Rolle. Sie stellen eine Diversifikation in der IT-Landschaft dar und ermöglichen eine heterogene, flexible und agile IT-Landschaft. Es kommt zu einer Dezentralisierung der IT.
Die Herausforderungen von agiler Security
In vielen IT-Projekten wird das Thema Sicherheit jedoch erst am Ende berücksichtigt. Dies kann zu Problemen führen. Besser wäre ein «security by design»-Konzept.
Die schnelle Entwicklung bei agiler Softwareentwicklung scheint im Widerspruch zur Sicherheit zu stehen. Um Sicherheit zu gewährleisten, ist eine gründliche Planung und Umsetzung erforderlich, ohne ständige Änderungen. Doch wie kann Agile Security unter diesen Bedingungen funktionieren?
Hilfreiche Ansätze sind:
- Sicherheits-Perimeter
Der Sicherheits-Perimeter bildet die Grenze zwischen verschiedenen Netzwerken und schützt diese vor Hackern und Bedrohungen. Aufgrund der Komplexität ist eine individuelle Lösung notwendig, um Schnittstellen zu verwalten und gleichzeitig die Netzwerke zu sichern.
- Microgateways, Web-Applikations- und API-Sicherheit
Microgateways vereinfachen und stabilisieren die Schnittstellen auf Client-Seite. Zu den Aufgaben von Microgateways gehören Monitoring, Logging, Traffic-Analyse und die Durchsetzung der API-Spezifikationen der Microservices. Ein zentrales Gateway kommt zum Einsatz. Dieses stellt die Web Application & API Protection (WAAP) sicher.
Um den Schutz von Applikationen und APIs sicherzustellen, muss dieser am zentralen Perimeter durchgeführt werden. Bei APIs in Containern über Kubernetes braucht es noch mehr. Maßgeschneiderte Microgateways können einen dezentralen Schutz für die API in einem Container bieten, der mit der API mitskalieren kann.
Benutzer greifen immer über eine Web Application and API Protection wie Airlock Gateway auf die Microservices zu.
- Cloud Security Hub
Der Cloud Security Hub der Knowledge Lab AG bietet die WAAP und Identity Access Management (IAM)-Lösung von Airlock als SaaS an. Unternehmen können von dieser bewährten Lösung profitieren und den Betrieb an einen vertrauenswürdigen Partner auslagern.
- Everything as Code
Bei dem «Everything as Code»-Prinzip werden die gesamte Infrastruktur- und Applikationseinstellung als Code bereitgestellt. Anpassungen an das System werden immer im Quellcode vorgenommen. Auch hier kann ein Microgateway helfen und Security automatisiert und als Code bereitstellen.
Agile Security
In modernen agilen Unternehmen, die hybride Cloud-Lösungen nutzen, müssen komplexe Anforderungen erfüllt werden. Nutzer, Mitarbeiter und Kunden greifen auf Hunderte von Microservices an verschiedenen Standorten zu. Es entsteht eine sich laufend verändernde IT-Landschaft mit verschiedenen Softwarestadien und Zugriffsrechten.
Es ist entscheidend, dass Security nicht erst am Ende berücksichtigt wird. Stattdessen sollte sie agil und parallel zur Softwareentwicklung integriert werden. Das bedeutet klare Sicherheitsprozesse während des gesamten Entwicklungszyklus.
Agile Security verlangt nach einem durchgängigen Fokus auf Sicherheit bei der Planung und Umsetzung von Softwarelösungen. Automatisierte Tests helfen, Sicherheitslücken frühzeitig zu erkennen und zu beheben. Durch "Security by Design" wird Sicherheit nahtlos in den Entwicklungsprozess integriert und kontinuierlich angepasst.
Ein effektives DevSecOps-Team ist das Ergebnis einer erfolgreichen Umsetzung von agiler Security, in dem Entwicklung, Security und Betrieb zusammenarbeiten.
Agile Security – Die Benutzerfreundlichkeit
Neben der ständigen Weiterentwicklung von Sicherheitsstrategien gewinnt auch die Benutzerfreundlichkeit zunehmend an Bedeutung. Die hybride Cloud und agile Security bieten nicht nur Vorteile auf der Unternehmensseite. Sie können auch dazu genutzt werden, um Anwendungen für Mitarbeitende und Kunden benutzerfreundlich zu gestalten.
Gute Beispiele dafür sind die Single Sign-on (SSO) Authentifizierung und Continuous Adaptive Trust (CAT).
Beim SSO wird die Authentifizierung an ein Drittsystem ausgelagert. Das Drittsystem authentifiziert den Nutzer und bestätigt der Applikation, welche Berechtigungen mit dieser Identität verbunden sind.
Wenn das Vertrauensniveau kontinuierlich analysiert und bei Bedarf angepasst wird, spricht man von Continuous Adaptive Trust (CAT). Dafür reicht ein bloßes Identity Access Management (IAM) nicht aus. Es wird zusätzlich eine Komponente für die Erfassung und Auswertung der Risikosignale benötigt
Möchten Sie mehr über Agile Sicherheit erfahren? Laden Sie unser kostenloses Whitepaper herunter, in dem wir anhand des Beispiels der V-Bank zeigen, wie wir sichere Lösungen entwickeln.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.