Wie viele CISOs feststellen, erfordert der Schutz nativer Cloud-Umgebungen ein grundlegendes Umdenken, wenn es darum geht, Bedrohungen in Schach zu halten. Die enorme Veränderung des Technologie-Stacks, die schnelle Bereitstellung von Software-Updates und die uneingeschränkte Nutzung von Open Source stellen alle neue Herausforderungen dar, die Sicherheitstools alten Stils nicht lösen können.
Anstatt verschiedene Punktlösungen zu verwenden nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen, empfiehlt Gartner Einführung einer einheitlichen End-to-End-Lösung für den gesamten Lebenszyklus, die in der Entwicklung beginnt und sich erstreckt, um umfassenden Laufzeitschutz zu bieten. Mit anderen Worten, eine Cloud-native Application Protection Platform (CNAPP).
Das Problem ist, dass nicht alle CNAPPs das’Real Deal’sind, was erklärt, warum viele Organisationen sich mit einem wachsenden Strom von ausgehenden Schwachstellen auseinandersetzen müssen aus ihren CI/CD-Pipelines einerseits. Unterdessen werden ihre SecOps-Teams von Warnungen und Konfigurationsproblemen überschwemmt, die aus ihren Produktionsumgebungen entstehen.
Um zu verstehen, was eine vollständige Cloud-native Sicherheitsplattform wirklich ausmacht, werfen wir zunächst einen Blick auf die Auswirkungen von Cloud-nativen aus einer breiteren Perspektive der Unternehmenssicherheit.
Cloud-native Sicherheit in den Griff bekommen – die Grundlagen
Cloud-native Sicherheit hat einen enormen Wandel in der Art und Weise bewirkt, wie moderne Anwendungen heute erstellt werden. Eine, bei der Unternehmen neue agile Methoden annehmen und sich zunehmend auf Open-Source-Code verlassen. Sie nutzen auch Microservices mit mehreren Ports pro App, die sich als Top-Ziel für Cyberkriminelle erweisen. Aber das ist noch nicht alles.
Sie verwenden auch Tools wie Kubernetes, um die Bereitstellung, Skalierung und Verwaltung einer wachsenden Zahl containerbasierter Anwendungen zu automatisieren. Das Problem ist, dass herkömmliche netzwerkbasierte Sicherheitstools nie für Cloud-nativen Datenverkehr entwickelt wurden und nur begrenzte Funktionen in diesen neuen dynamisch orchestrierten Umgebungen haben. Sie erweisen sich auch als ineffektiv, wenn es darum geht, eine schnelle und effiziente Endpunktüberwachung und Reaktion auf Vorfälle in einer verteilten Microservices-Umgebung durchzuführen.
Wie IT-und Infosec-Führungskräfte feststellen, ändert Cloud-Native die Spielregeln, wenn dies der Fall ist geht es darum, das Gesamtrisiko des Unternehmens zu steuern. Neben einem umfassenden Einblick in alle Open-Source-Komponenten, um sicherzustellen, dass Sicherheitslücken identifiziert werden können, bevor Anwendungen in die Produktion freigegeben werden, müssen sie jetzt sicherstellen, dass Sicherheitskontrollen den Workloads folgen, wo immer diese ausgeführt werden, um den Schutz überall zu gewährleisten.
Leider , ist es nicht die Lösung, sich auf die Sicherheitsangebote der großen Cloud-Hyperscaler zu verlassen, da diese Dienste nicht die einheitliche Sicht auf alle Unternehmensumgebungen bieten. Und das ist eine besondere Herausforderung für Unternehmen, die eine Multi-Cloud-Strategie verfolgen möchten.
Was benötigt wird, ist eine End-to-End-Sicherheitslösung, die es Unternehmen ermöglicht, ihre Cloud-nativen Anwendungen sicher zu erstellen, zu versenden und auszuführen und ermöglichen umfassenden Laufzeitschutz in jeder Umgebung. Und hier kommt CNAPP ins Spiel.
Alles, überall und jederzeit schützen
Nicht alle CNAPP-Lösungen sind das Richtige, wenn es um Schutz geht Bereitstellung des einheitlichen und durchgängigen Schutzes, den Unternehmen heute benötigen. Beispielsweise ist eine Lösung, die nach Container-Schwachstellen scannt, aber andere Sicherheitsaspekte im Zusammenhang mit Cloud-Nativen nicht beachtet, nicht CNAPP.
Wenn es darum geht, die wesentlichen Attribute zu identifizieren, die eine CNAPP besitzen sollte, CISOs und IT-Führungskräfte sollten nach Lösungen Ausschau halten, die:
Alle Arten von Cloud-nativen Workloads (Container, serverlose Funktionen und VMs) analysieren, verfolgen, überwachen und steuern können. Mit dem gesamten Stack der Cloud-nativen Infrastruktur arbeiten: Kubernetes, Infrastruktur-As-Code (IaC)-Tools, Cloud-Anbieter und mehr. Unterstützen Sie Multi-Cloud-und Hybrid-Cloud-Sicherheit, ohne dass Kontrollen oder Richtlinien für jede Umgebung neu konfiguriert werden müssen: einmal sichern, überall und mit minimalem Aufwand ausführen. Sicherheit über den gesamten Lebenszyklus bereitstellen: Wenn a-Lösung Code in der Build-Phase nicht scannen und die Integrität vom Build bis zur Bereitstellung aufrechterhalten kann, ist es keine echte CNAPP-Lösung.
Going for Gold – was erstklassige CNAPP-Lösungen von anderen unterscheidet
Um ihre Cloud-native Sicherheitslage zu transformieren, müssen Unternehmen unternehmenstaugliche Lösungen bereitstellen Cloud-native Sicherheitslösungen, die speziell für die Aufgabe entwickelt wurden, Cloud-native Angriffe von der Entwicklung bis zur Produktion zu stoppen und gleichzeitig die zugrunde liegende Infrastruktur zu sichern.
Best-in-Class-Lösungen bieten einheitliche Funktionen in mehreren Cloud-Sicherheitskategorien. Alles vom Shift-Left-Artefakt-Scannen über CSPM-und Kubernetes-Sicherheitsstatusmanagement bis hin zum Laufzeit-Cloud-Workload-Schutz.
Die robustesten und umfassendsten CNAPPs verfügen auch über eine integrierte Sicherheitslösung für die Lieferkette, die potenziellen Software-Sicherheitsrisiken vorbeugt die über Pakete und Tools von Drittanbietern eingeführt werden können.
Schließlich bieten die allerbesten Lösungen auch Funktionen wie Driftverhinderungsfunktionen, die die Unveränderlichkeit von Workloads zur Laufzeit sicherstellen, zusammen mit proaktiver Workload-Überwachung, die dies ermöglicht möglich, verdächtige Containeraktivitäten ohne Ausfallzeiten oder Neustarts zu blockieren. All dies ermöglicht es Unternehmen, Angriffe überall dort zu erkennen und zu stoppen, wo Anwendungen bereitgestellt werden – vor Ort, in der öffentlichen Cloud oder in einer hybriden Umgebung.
Bildnachweis: allepu/Shutterstock
Rani Osnat ist SVP Strategy bei Aqua-Sicherheit.