Durch den zunehmenden Umstieg auf die Cloud steigt auch der Bedarf an agiler Applikationssicherheit. Wie aus dem Radware-Bericht The State of Web Application and API Protection hervorgeht, werden bereits 70 % aller Webapplikationen in Cloud-Umgebungen ausgeführt, und 76 % der Unternehmen haben in den letzten zwei Jahren ihren Zeitplan für die Cloud-Migration verschärft.
Die meisten Unternehmen wählen hybride Umgebungen, in denen Applikationen auf öffentliche Clouds, private Clouds und physische Rechenzentren verteilt sind. Laut unserer Studie nutzen 47 % der Unternehmen, die Applikationen in der Cloud bereitstellen, mehr als nur eine Cloud-Umgebung. Cloud-Migration und Applikationsbereitstellung sind jedoch dynamische Prozesse, die sich über mehrere Jahre erstrecken, sodass hybride Umgebungen nie einen statischen Zustand erreichen. Die Sicherheit in hybriden Umgebungen wird immer mehr zur Herausforderung, weil laufend neue Apps entwickelt werden und alte Apps modernisiert oder durch „Lift and Shift“ in die Cloud verlagert werden.
Die Herausforderungen beim Schutz hybrider Umgebungen
- Neue Bedrohungsvektoren: Hacker verbessern laufend ihre Methoden und denken sich neue Wege aus, auf denen sie Unternehmen angreifen und vorhandene Schutzmaßnahmen umgehen können. Dadurch sind Applikationen neuen Angriffen ausgesetzt, gegen die herkömmliche oder bestehende Abwehrsysteme machtlos sind.
- Breitere Angriffsflächen: Früher hatten Unternehmen die Backend-Infrastruktur ihrer Applikationen direkt unter Kontrolle, sodass nur die dem Kunden zugewandte Seite der Applikation von außen angreifbar war. In einer Cloud-Umgebung sind aber sowohl die Oberfläche als auch die Infrastruktur einer Applikation gefährdet. Deshalb müssen beide geschützt werden.
- Agile Softwareentwicklung und DevOps-Kultur: Der wichtigste Grund für die Migration in Cloud-Umgebungen ist oft der Wunsch nach mehr Agilität und Flexibilität bei der Applikationsentwicklung. Mit der Konsequenz, dass die schnelle Bereitstellung in Cloud-Umgebungen höchste Aufmerksamkeit erhält und Sicherheit nur an zweiter Stelle steht. Oder anders gesagt sollen Cloud-Applikationen mit ihren häufigen Änderungen zwar reibungslos geschützt werden – aber nicht auf Kosten der Agilität.
- Multi-Cloud-Bereitstellungen: Viele Unternehmen nutzen nicht nur eine einzelne Cloud-Umgebung, sondern mehrere solcher Umgebungen gleichzeitig. Dies macht die Aufgabe der Cloud-Sicherheit noch komplizierter, weil Unternehmen ihre Ressourcen mit einem einheitlichen Sicherheitsniveau schützen müssen, jede Cloud-Plattform aber ihre eigenen Merkmale, APIs, Verwaltungs- und Berichtsfunktionen aufweist.
- Entscheidungen durch andere Stakeholder als Sicherheitsmitarbeiter: Obwohl der Schutz von Cloud-Umgebungen normalerweise zu den Aufgaben der Sicherheitsmitarbeiter gehört, haben diese oft keinen Einfluss auf die Auswahl oder Verwaltung von Cloud-Umgebungen. In der Radware-Studie gaben 92 % der Unternehmen an, dass Entscheidungen über Cloud-Plattformen nicht von Sicherheitsmitarbeitern, sondern von anderen Stakeholdern getroffen werden.
[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]
Voraussetzungen für reibungslose Sicherheit
Ihre Sicherheitsstrategie muss auf Transparenz, Kontrolle und einem ganzheitlichen, konsistenten Ansatz für Applikationssicherheit beruhen – ganz gleich, wo Applikationen gehostet oder wohin sie verlagert werden.
Angesichts der vielen Komponenten, die sich rasant ändern, reichen Sicherheitsexperten allein nicht aus. Es wird mehr als nur Personal und Know-how benötigt, um diese Herausforderung zu meistern. Eine robuste Sicherheitsstrategie in einer dynamischen Umgebung erfordert Applikationsschutz mit folgenden Eigenschaften:
- Umfassend: Durch breite Schutzmaßnahmen werden alle kritischen Bedrohungsvektoren für Applikationssicherheit abgedeckt.
- Automatisiert: Automatische Schutzlösungen stellen Ihren Teams fortschrittliche Algorithmen bereit, damit sie sich auf echte Bedrohungen konzentrieren und einige manuelle Aufgaben automatisieren können.
- Reibungslos: Sicherheit wird so weit wie möglich in den Entwicklungszyklus integriert, beeinträchtigt aber nicht die Geschäftsprozesse. Außerdem muss Sicherheit anpassungsfähig sein, um mit den häufigen Änderungen an Applikationen und der zugrundeliegenden Bereitstellungsplattform Schritt halten zu können. Ferner bedeutet reibungslos, dass die Sicherheit für jede Cloud-Umgebung geeignet ist und über die gesamte Cloud-Bewegung aufrechterhalten werden kann, unabhängig von der Geschwindigkeit der Migration und von der letztendlichen Ziel-Cloud der Applikation.
- Konsistent: Einheitliche, ultramoderne Sicherheit für alle Apps an allen Orten. Dadurch erhalten alle Apps denselben ganzheitlichen Schutz, wo auch immer sie sich befinden (private/öffentliche Clouds).
- Vertrauenswürdig: Suchen Sie sich einen Partner, der volle Verantwortung übernimmt und Sie bei der Implementierung Ihrer Strategie durch seine Sicherheitsexpertise unterstützt.
[Das könnte Sie auch interessieren: Understanding the Next Security Control Points: Applications and Workloads – IDC-Bericht]