Da immer mehr unserer Computer in die Cloud verlagert werden, stellt der Schutz von Informationen und Apps Unternehmen vor neue Herausforderungen.
Wir sprachen mit Ratan Tiperneni, Präsident und CEO von Cloud-native app Schutzspezialist Tigera, um mehr über die Sicherheitsimplikationen einer Cloud-nativen Umstellung und den Umgang damit zu erfahren.
BN: Welche Herausforderungen stellen DevOps-und Sicherheitsteams vor die neue Art von Cloud-nativen Apps, insbesondere solche, die auf Containern und Kubernetes laufen?
RT: Je mehr Unternehmen die Cloud einführen-native Architekturen, insbesondere solche, die auf Containern und Kubernetes laufen, müssen sich Sicherheitsteams der unterschiedlichen Ansätze bewusst sein, die zum Schutz ihrer Umgebungen erforderlich sind. Während Legacy-Architekturen vernünftigerweise am Perimeter gesichert werden könnten, sind Cloud-native Anwendungen für diesen Ansatz zu verteilt und kurzlebig. Um diesen Herausforderungen zu begegnen, müssen Sicherheitsteams Sicherheitskontrollen in die Workloads selbst mit einer aktiven Sicherheitsplattform einführen, die Container-Images bei Bedarf automatisch scannt und Richtlinien implementiert, die Kriterien festlegen, unter denen Images bereitgestellt werden können. Darüber hinaus sollten DevOps-und Sicherheitsteams ihre Bemühungen aufeinander abstimmen, um sicherzustellen, dass Sicherheit während des gesamten Entwicklungslebenszyklus berücksichtigt wird.
BN: Warum brauchen Infrastruktur-und Sicherheitsteams einen ganzheitlicheren Ansatz, der den Fokus mehr auf Prävention und Risikominderung zusätzlich zur Erkennung und Warnung?
RT: Wenn Sie sich nur darauf konzentrieren, bekannte Bedrohungen zu entdecken, werden Sie nicht in der Lage sein, Schritt zu halten. Diese Strategie führt dazu, dass Anwendungsteams damit beschäftigt sind, die Schwachstellen des letzten Jahres zu beheben, während weiterhin neue auftauchen. Anstatt diese veraltete Denkweise zu erzwingen, müssen wir aktive Sicherheit implementieren.
Cloud-native Anwendungssicherheit ist kein isoliertes Anliegen, sondern eine Zusammenarbeit zwischen Infrastruktur-und Sicherheitsteams. Bei der Einführung Cloud-nativer Architekturen müssen Entwicklungs-und Sicherheitsteams einen neuen Ansatz für die Entwicklung und Sicherung von Workloads verfolgen. In der Praxis bedeutet dies, dass Sicherheitskontrollen frühzeitig in die Architektur eingebaut werden sollten, um die Angriffsfläche zu reduzieren. Sicherheitsteams sollten auch die schiere Menge an Bedrohungen berücksichtigen, die während der Laufzeit auftreten können, und daran arbeiten, im Falle einer Sicherheitsverletzung Maßnahmen zur Risikominderung zu implementieren. Dadurch können Teams Prävention und Risikominderung mit Bedrohungserkennung kombinieren.
BN: Inwiefern ist Zero Trust ein wichtiger Bestandteil dieses ganzheitlichen Ansatzes?
RT: Angesichts der Größe der Angriffsfläche von Cloud-nativen Anwendungen ist ein Sicherheitsansatz, der sich nur auf die Erkennung von Schwachstellen und Bedrohungen konzentriert, sowohl unpraktisch als auch ineffizient. Stattdessen hilft die Einbeziehung von Zero-Trust-Prinzipien zur Reduzierung der Angriffsfläche, Verstöße aktiv zu verhindern und die Auswirkungen zu begrenzen, wenn ein Verstoß auftritt.
Cloud-native Anwendungen, die auf Kubernetes ausgeführt werden, sind besonders anfällig für die Verbreitung von Malware aufgrund der Offenheit von Cluster-Netzwerken; konstruktionsbedingt kann jeder Pod mit jedem anderen Pod verbunden werden, sogar über Namespaces hinweg. Es ist schwierig, Malware oder ihre Verbreitung innerhalb eines Kubernetes-Clusters zu erkennen, ohne ein Sicherheitsmodell wie Zero Trust zu implementieren. Mit einem Zero-Trust-Ansatz können Teams den Explosionsradius eines potenziellen Eindringens minimieren, indem sie die Kommunikation zwischen Pods nur dann und dort zulassen, wenn und wo es absolut notwendig ist.
BN: Was sind die aktuellen Cloud-nativen Sicherheitsherausforderungen? und wie können sie mit diesem neuen ganzheitlichen Ansatz angegangen werden?
RT: Die Geschwindigkeit der CI/CD-Pipeline und der Aufstieg von Cloud-nativen Apps, Containern und Kubernetes führten zu neuen Prozessen und Richtlinien , und Grundlagen für die Entwicklung und Bereitstellung bestehender Anwendungen.
Vor Cloud-nativen Anwendungen in Containern und Kubernetes bauten DevOps-Teams eine Anwendung, erstellten ein Image, eine ausführbare Datei oder ein Installationsprogramm und übergaben sie an das Sicherheitsteam. Das Sicherheitsteam würde dann den Code auf Schwachstellen überprüfen, entscheiden, welche Server verwendet werden sollen, und Perimeter um die Umgebung herum erstellen. Sobald manuelle Berechtigungen vorhanden waren, wurde die Anwendung bereitgestellt. Mit der Automatisierung der CI/CD-Pipeline hat sich jedoch die Rolle des Sicherheitsteams geändert.
Ein ganzheitlicher Ansatz für optimale Sicherheit und Beobachtbarkeit in Cloud-nativen Umgebungen fördert die aktive Zusammenarbeit zwischen Sicherheits-und DevOps-Teams. Sicherheits-und DevOps-Teams müssen zusammenarbeiten, um sicherzustellen, dass die Sicherheit zu Beginn des Build-Prozesses integriert wird und nicht nachträglich. Sicherheit und DevOps arbeiten zusammen, um Workloads zu schützen, kompensierende Kontrollen einzuführen und Images bis zur Laufzeit zu verfolgen. Durch diese Zusammenarbeit können Sicherheitsteams alle Schwachstellen erkennen, bevor es zu spät ist, und DevOps-Teams können basierend auf dem Feedback der Sicherheitsteams alle notwendigen Anpassungen an zukünftige Entwicklungen vornehmen.
BN: Welche Auswirkungen auf die Sicherheit haben die zunehmende Innovation und die Einführung von Cloud-nativen Anwendungen? Wie können Unternehmen die Sicherheitslücke schließen, die durch zunehmende Innovation entsteht?
RT: Die Offenheit des Cluster-Networking ist sowohl der Vorteil, der seine Einführung fördert, als auch die Schwachstelle, die im gesamten CI/CD berücksichtigt werden muss Pipeline. Die schnelle Einführung von Cloud-nativen Architekturen führte zu einer Zunahme von Sicherheitsverletzungen, da viele Unternehmen die inhärenten Unterschiede zwischen Cloud-nativen und traditionellen Architekturen nicht vollständig verstanden haben – eine kann nicht einfach auf eine andere portiert werden, ohne wesentliche Änderungen in Design, Prozess und Richtlinien. Es ist allgemein bekannt, dass mehr Innovation eine größere Anzahl unvorhergesehener Herausforderungen mit sich bringt. Wenn schnelles Handeln und Brechen von Dingen nicht sehr schmackhaft klingt, dann habe ich gute Neuigkeiten: Der richtige Weg, um die Sicherheit von Cloud-nativen Architekturen zu gewährleisten, besteht darin, proaktiv zu sein.
Schwachstellen aller Art nehmen zu eine exponentielle Rate. Ein Unternehmen könnte jedes kompetente Sicherheitsteam unter der Sonne einstellen, aber sie wären immer noch anfällig, wenn sie Probleme erst ansprechen, wenn sie sich selbst bekannt machen. Stattdessen müssen Sicherheitsteams ihre Architekturen mit der Annahme entwerfen, dass sie verletzt werden. Mit diesem Verständnis können Teams mit der Strategieplanung beginnen, wie die Auswirkungen dieses Verstoßes minimiert werden können. Dies bedeutet die Implementierung eines Zero-Trust-Ansatzes, um den Explosionsradius zu verringern und die Ausbreitung von jedem gefährdeten Eintrittspunkt aus einzudämmen. Dies bedeutet auch, dass Sicherheits-und Entwicklungsteams zusammenarbeiten müssen, um Schwachstellen zu priorisieren, die die größten Auswirkungen haben würden, und Ausgleichskontrollen auf Workload-Ebene einzuführen, um die Schwachstellen zu überbrücken, die nur eine geringe Bedrohung darstellen. Diese Strategien ermöglichen es Sicherheitsteams, ihre Bemühungen darauf zu konzentrieren, wo sie die größte Wirkung haben, und ermöglichen es Unternehmen, mit weniger mehr zu erreichen.
BN: Was ist Tigera? Was ist Project Calico und wie hat es sich entwickelt?
RT: Die Geschichte von Tigera begann vor sechs Jahren mit Project Calico, einem Open-Source-Netzwerk-und Sicherheitsprojekt mit einer aktiven Entwickler-und Benutzer-Community. Calico Open Source wurde aus diesem Projekt geboren und hat sich zur am weitesten verbreiteten Lösung für Netzwerke und Sicherheit für Container und Kubernetes entwickelt, die täglich mehr als 2 Millionen Knoten in 166 Ländern mit Strom versorgt.
Mit zunehmender Akzeptanz von Containern und Kubernetes und Organisationen begannen, Kubernetes in großem Umfang zu verwenden, stießen sie auf fortgeschrittenere Anforderungen an Beobachtbarkeit und Sicherheit. Tigera reagierte auf diesen Bedarf, indem es auf Calico Open Source aufbaute, um die branchenweit einzige aktive Cloud-Native Application Protection Platform (CNAPP) mit Full-Stack-Beobachtbarkeit zu schaffen, die als vollständig verwaltetes SaaS (Calico Cloud) oder selbstverwalteter Dienst (Calico Enterprise).
Tigera wurde vom ursprünglichen Engineering-Team von Project Calico gegründet. Wir setzen uns dafür ein, Calico Open Source als führenden Standard für Container-und Kubernetes-Netzwerke und-Sicherheit beizubehalten und gleichzeitig kommerziellen Benutzern, die nach einer nutzungsbasierten, verwalteten Cloud suchen, Kubernetes-native Full-Stack-Sicherheits-und Beobachtbarkeitsfunktionen anzubieten Service oder eine selbstverwaltete, lokale Plattform.
Bildnachweis: jirsak/depositphotos.com