Sicherheitskonzepte mit Zukunft
Ergon Airlock hat sich in einer aktuellen Studie in Zusammenarbeit mit CIO, CSO und COMPUTERWOCHE mit der Application und API-Security im Container Umfeld auseinander gesetzt. Gewinnen Sie hier einen kleinen Einblick, welche interessanten Erkenntnisse dabei gewonnen werden konnten.
Bestimmt haben Sie bereits von DevOps gehört? DevOps ist ein Kofferwort aus den Begriffen Development (Entwicklung) und IT Operations (IT-Betrieb). DevOps soll durch gemeinsame Anreize, Prozesse und Tools eine effektivere und effizientere Zusammenarbeit der Bereiche Dev, Ops, Qualitätssicherung (QS) und den Fachbereichen ermöglichen. Mit DevOps sollen die Qualität der Software, die Geschwindigkeit der Entwicklung und der Auslieferung sowie das Miteinander der beteiligten Teams verbessert werden.
Aber kennen Sie auch DevSecOps? Die kleine Silbe „Sec“ ergänzt das beschriebene Konzept um die Software-Sicherheit. Mit diesem Konzept wird der komplette Lebenszyklus einer Software von der Entwicklung bis hin zu Delivery und Betrieb auch unter Sicherheitsaspekten betrachtet – Security ist in allen Phasen ein wichtiger Bestandteil. So lässt sich gute und sichere Software schnell und agil entwickeln sowie betreiben. Nicht zu verwechseln ist dieses Konzept übrigens mit SecDevOps, das eine Weiterentwicklung von DevSecOps darstellt und – wie der Begriff bereits anzeigt – die Security an die erste Stelle des Entwicklungsprozesses rückt.
Eine Antwort auf die Frage, wie verbreitet das DevSecOps-Konzept in den Unternehmen bereits ist, gibt die vorliegende Studie. So zeigt allein die Tatsache, dass bei 64 Prozent der Befragten das obere IT-Management über Entscheidungen zu DevSecOps-Massnahmen und -Tools direkt involviert ist, dass es sich hier um ein Business-relevantes Thema handelt. Dass gleichzeitig mehr als die Hälfte der Unternehmen einen besonderen Fachkräftemangel im Bereich DevSecOps-Bereich beklagen, erstaunt zwar nicht, macht aber das Dilemma deutlich, in welchem die Unternehmen bereits seit Jahren stecken: Ausgerechnet bei den essenziell wichtigen IT-Sicherheitsthemen fehlt es an allen Ecken und Enden an ausgebildeten Experten.
Diese Entwicklung scheint sich weiter zu verschärfen – kommt aber zur Unzeit. So zeigt die Studie auch, dass zwei Drittel der Unternehmen eine große Anzahl – teils mehrere Hundert – schutzbedürftiger Web-Apps und APIs (Schnittstellen) im Einsatz haben. Gerade für deren Sicherheit wäre das DevSecOps-Konzept prädestiniert, wie ganz allgemein ein Container basiertes Identity und Access Management, das sich aber bislang noch nicht wirklich durchsetzen konnte.
Um den größtmöglichen Schutz gewährleisten zu können, gibt es einerseits die Möglichkeit, getrennte Security-Lösungen für Web-Apps und APIs zu nutzen, andererseits die Option, beides mit einer Lösung zu verbinden. Für welche dieser beiden Wege sich die Unternehmen letztlich entscheiden, wissen sie selbst häufig aber gar nicht – auch das ist eine durchaus überraschende Erkenntnis unserer Erhebung.
Wie unser Studienautor so treffend schreibt:
Offensichtlich muss die Bedeutung von API-Management und API-Sicherheit sowie der Verknüpfung mit Web-App-Sicherheit noch stärker ins Bewusstsein der Unternehmen in Deutschland gebracht werden.
Diese Studie ist ein erster Schritt in diese Richtung.
Wenn Sie gern mehr erfahren wollen, finden Sie die Ergebnisse der Studie zum Download hier.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.