Entwickler benötigen Zugriff auf viele Geräte und interne Dienste, um Software zu erstellen. Aber viele dieser Geräte und Dienste sind dem öffentlichen Web ausgesetzt, wodurch Sicherheitslücken entstehen.
Fügen Sie die Herausforderungen der Sicherung von Remote-Arbeiten hinzu, und es ist klar, dass ein kniffliger Balanceakt erforderlich ist, um die Entwicklung zu ermöglichen und gleichzeitig die Sicherheit beizubehalten Organisation sicher. Wir haben mit Avery Pennarun, CEO und Mitbegründer des VPN-Dienstes Tailscale gesprochen, um herauszufinden, wie dies erreicht werden kann.
BN: Warum ist Sicherheit ein solches Problem für Entwickler?
AP: Die meisten Startups sind in Sachen Sicherheit schlecht, weil sie versuchen, Dinge schnell zu erledigen, und bis vor kurzem gab es einen Kompromiss–insbesondere für Entwickler–zwischen dem einfachen und dem sicheren Weg. Der Weg des geringsten Widerstands bestand darin, eine Entwicklungsumgebung auf AWS einzurichten, die Firewall-Ports zu öffnen und zu hoffen, dass niemand sie findet. Wie viele ehemalige Mitarbeiter haben noch Zugriff auf den GitHub Ihres Startups? Wie viele Entwickler lassen versehentlich Ports offen? Es ist wie eine offene Einladung für Hacker.
Tailscale hat in den letzten Jahren eine virale Akzeptanz bei Entwicklern erfahren, weil es für Entwickler die einfachste und sicherste Art ist, zu arbeiten. Ausnahmsweise können Sicherheits-und Technikteams auf derselben Seite sein. Es müssen keine Kompromisse eingegangen werden.
BN: Wird dieser Sicherheits-Blindspot aufgrund der Fernarbeit zu einem größeren Problem?
AP: Schatten-IT ist während der Pandemie allgegenwärtig geworden. Die meisten Unternehmen haben immer noch einen blinden Fleck in der Konnektivität, weil es nicht die gleichen Risiken gab, wenn alle zusammen im Büro waren.
Wenn ein Entwickler etwas mit einem Kollegen teilen möchte, ist das kein Problem, wenn wir beide dabei sind dasselbe Büro in demselben privaten Netzwerk. Aber wenn wir beide zu Hause sitzen, gibt es keine Möglichkeit, das sicher zu tun. Ich muss eine Entwicklungsumgebung hochfahren und Ports in der Cloud öffnen.
Diese Art von Problemumgehungen sind die Quelle eines enormen Sicherheitsrisikos. Wir haben dieses Problem angegangen, indem wir Entwicklern die Möglichkeit gegeben haben, kleine Netzwerke zu erstellen, mit klaren Sicherheitsvorkehrungen darüber, was mit was verbunden werden kann, sodass es sicherer ist, Mitarbeiter ihre persönlichen Geräte verwenden zu lassen.
BN: Wie trägt der Einsatz kleinerer, privater Netzwerke zur größeren Mission bei?
AP: Meine Mitbegründer und ich verbrachten gemeinsam Jahrzehnte bei Google, wo wir Produkte für den globalen Maßstab entwickelt haben. Aber hier ist die Sache: In den allermeisten Fällen müssen Ihre Tools nur von kleinen Netzwerken von Client-Geräten aus erreichbar sein. Meistens müssen Sie keine Software für Milliarden von Benutzern schreiben oder verwenden.
Stellen Sie sich vor, Ihre gesamte Kommunikation mit Ihren Freunden, Ihrer Familie und Ihren Kollegen würde über öffentliches Twitter stattfinden. Das wäre verrückt, oder? Twitter hat sicherlich einen Zweck, aber für die meisten Ihrer Konversationen brauchen Sie es nicht – Ihr WhatsApp-Chat mit Freunden oder Team Slack ist viel besser für diese Aufgabe geeignet und hat keine Angreifer und Spammer, die sich Ihrer Konversation anschließen. p>
Dennoch ist die Art und Weise, wie wir das Internet heute nutzen, so, als ob wir uns für die gesamte Kommunikation auf Twitter verlassen würden – wir nutzen es für eine Reihe von Dingen, für die wir es nicht brauchen. Alle unsere Geräte verbinden sich standardmäßig über das öffentliche Internet. Jede App oder Software, die die Interaktion zwischen Menschen beinhaltet, muss die gesamte Infrastruktur zur Verwaltung sozialer Interaktionen im öffentlichen Internet aufbauen, und die Entwickler machen Fehler.
Wenn Sie die Größe des Internets verkleinern auf eine kleine Gruppe von Menschen, denen Sie vertrauen, ist es viel einfacher, Software zu schreiben und alles andere zu erledigen, weil fast alle Angreifer einfach nicht da sind.
Denken Sie daran, eine WhatsApp-Gruppe für die meisten Ihrer Aufgaben zu haben täglich tun müssen – das ist es, was Tailscale tut. Wir ermöglichen Entwicklern, jedes Tool oder Asset sofort mit genau der Gruppe von Personen zu teilen, mit der Sie es teilen möchten, ohne dass es durch einen komplexen Cloud-Service und Dutzende vermittelt wird verschiedener Apps (die jeweils ihre eigenen Sicherheitsrisiken mit sich bringen). Und Sie müssen Authentifizierung und Verschlüsselung nicht in jedes neue Tool einbauen.
BN: Entwickler und Sicherheitsteams hatten schon immer Probleme bei der Ausrichtung. Ermöglichen private Netzwerke eine bessere Kommunikation, um die Sicherheit früher im Prozess aufzubauen?
AP: Definitiv. Der Witz an Sicherheitsteams ist, dass es ihre Aufgabe ist, Sie von Ihrer Arbeit abzuhalten. Das Tolle an Tailscale ist, dass es Entwicklern leichter macht, das zu tun, was sie tun wollen, aber gleichzeitig auch sicherer ist. Sie lösen also beide Probleme. Jetzt kann die Sicherheit der Held sein, wenn es darum geht, etwas zu tun, das nicht nur das Unternehmen sicherer macht, sondern auch die Arbeit der Entwickler erleichtert.
Ganz allgemein denke ich, dass wir eine Verschiebung hin zu mehr Verantwortlichkeit für das Wie erleben werden Unternehmen richten ihre Infrastruktur so ein, dass die Auswirkungen unvermeidlicher Sicherheitsverletzungen minimiert werden. Heute gibt es eine Alles-oder-Nichts-Dynamik – wir konzentrieren uns darauf, ob es einen Verstoß gab oder nicht, und sobald es einen gibt, werfen die Unternehmen die Hände hoch und sagen: „Ups! Ich schätze, die Hacker haben jetzt alles!“ und versenden die Pflichtangaben. Aber das Ziel sollte nicht nur darin bestehen, Verstöße zu verhindern, sondern auch die Auswirkungen von Verstößen einzudämmen, die trotz aller Bemühungen der Menschen unvermeidlich passieren.
Organisationen werden nicht danach beurteilt, ob sie Sicherheitsverstöße haben, sondern danach wie gut sie ihre Systeme getrennt und Vorkehrungen getroffen haben, um ihre Auswirkungen zu minimieren. Die Verbraucher werden diesbezüglich immer versierter – nur weil Hacker in Ihr Netzwerk eingedrungen sind, bedeutet das nicht, dass sie auf die Daten aller hätten zugreifen können. Der letzte Teil ist einfach peinlich und die Leute sehen das langsam so.
Bildnachweis: Lightspring/Shutterstock