Zero Trust und DevOps, zwei Paradigmenwechsel die auch Ihre Cybersicherheit grundlegend verändern werden. Wie sehr sich diese beiden Ansätze ergänzen und welche Vorteile Sie daraus ziehen können, zeigen wir Ihnen in diesem Blogbeitrag.
Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf den Alltag aus. Der sichtbarste Effekt ist die Weiterentwicklung von Endgeräten – vom klassischen Unternehmens-Desktop-Computer, über Unternehmens-Notebooks, bis hin zu BYOD und Tablets.
Parallel dazu beobachten wir eine Weiterentwicklung der auf diesen Geräten installierten Anwendungen. Im Zeitalter des Desktop-Computers waren Client-Server-Architekturen die Norm. Mit dem Aufkommen von Browsertechnologien verschwand der Grossteil der Geschäftsfunktionen vom Endgerät (Client) und wurden durch Webportale ersetzt. Heutzutage wird ein Teil der Logik in Form von mobilen Apps und browserbasierten Einzelseitenanwendungen zurück auf den Client verlagert. Diese Apps werden über App Stores einfach verteilt und verkauft. Der Server heisst nicht länger Portal, sondern Ressource und REST ist das bevorzugte Protokoll, um mit diesen Ressourcen zu interagieren.
Gleichzeitig haben sich auch die Betriebsmodelle verändert. Heute werden Rechenressourcen auch als Service genutzt und Unternehmen verlagern ihre IT-Dienste teilweise oder vollständig in die Cloud. Dies beinhaltet einen gewissen Verlust der Kontrolle über die Infrastruktur und ihre Pflege, da die betriebliche Kontrolle an den Anbieter der Cloud-Infrastruktur delegiert wird. All dies führt dazu, dass neue Risiken und Bedrohungen für Unternehmen entstehen, «Vertrauen» neu definiert und die Cybersicherheit überdenkt werden müssen.
Zero Trust – wem kann man noch trauen?
Zunächst galt das klassische «Castle and Moat»-Konzept als ausreichend, um den Perimeter des internen Netzwerks zu schützen und alles und jeden im internen Netzwerk als «vertrauenswürdig» zu akzeptieren. Die heute bewährte Sicherheitspraxis empfiehlt eine Architektur, welche die Zugriffskontrolle vom Perimeter in Richtung der Dienste verschiebt. Das heisst die Zugriffskontrolle erfolgt durch die Applikation selbst oder eine Sicherheitskomponente, welche unmittelbar davorsteht. Hier stellt sich die Frage, welche Sicherheitstools am besten geeignet sind, um den Wechsel zu einer Zero Trust-Architektur zu bewerkstelligen. Zero Trust ist ein recht modernes Konzept und ein Ansatz der Cybersicherheit von Grund auf ändert. Anstatt zu versuchen, eine interne und sichere Vertrauenszone vor böswilligen Angreifern von aussen zu schützen, schreibt Zero Trust vor, dass jede einzelne Anfrage als nicht vertrauenswürdig gilt, bis das Gegenteil bewiesen ist. Was darunter genau zu verstehen ist und weshalb der Wechsel zu einer Zero Trust-Architektur nicht über Nacht geschieht, wurde bereits in einem früheren Blogbeitrag von Infoguard geschildert.
DevOps – Schneller auf Kundenanforderungen reagieren…
In der zunehmend digitalen und software-basierten Welt hängt der Erfolg eines Unternehmens auch davon ab, wie schnell (und sicher) Dienste entwickelt und bereitgestellt werden können. Hierzu kann DevOps ein Wegbereiter sein. DevOps ist nebst «Zero Trust» ein zweiter Paradigmenwechsel. Er fordert Unternehmensstrukturen mit separaten Verantwortlichkeiten für Netzwerke, Speicher, Betriebssysteme und Anwendungen heraus. Dieser Wechsel wird durch die Verlagerung in die Cloud beschleunigt, weil der gesamte Infrastrukturbetrieb ausgelagert wird. Cloud-Anbieter stellen weitere Dienste für die Integration in Anwendungen und Tools bereits, um die Entwicklung und automatische Installation von Anwendungen zu ermöglichen. Im Wesentlichen ermöglicht der Cloud-Anbieter den Wechsel zu DevOps, indem er Dienste für Entwickler und DevOps bereitstellt, auf denen diese aufbauen können, um in der Lage zu sein, sich voll und ganz auf die Implementierung der Geschäftsfunktionen zu konzentrieren.
DevOps steht aber auch symbolisch für eine neue Kultur von zusammenarbeitenden Abteilungen, die historisch eher unterschiedliche Ziele verfolgten: Die Softwareentwicklung muss agil, kreativ und am Puls der technologischen Entwicklung sein, um ständig neue Features liefern zu können. Im Gegensatz dazu ist der IT-Betrieb auf Stabilität, Sicherheit und Verlässlichkeit ausgerichtet. DevOps versucht nun genau diesen scheinbaren Widerspruch zwischen Agilität und Stabilität zu vereinen. Als logische Weiterentwicklung der agilen Softwareentwicklung soll durch DevOps die gesamte Wertschöpfungskette interdisziplinär einbezogen werden und bestehendes Silo-Denken aufgebrochen werden. um schlussendlich bessere und zuverlässigere Lösungen für die Kunden zu liefern.
Praktische Umsetzung von Zero-Trust und DevOps
Die Tage für die reine Perimetersicherheit sind vorbei. Zero Trust und DevOps erfordern Veränderungen im Unternehmen sowie neue Tools wie Microgateways zur Implementierung. Auch erfordert es viel Aufwand, bis ein grosses Unternehmensnetzwerk migriert ist. Die bestehenden Lösungen für die Perimetersicherheit werden nicht ersetzt. Ihre Funktion wird lediglich von einer Alltagsrolle auf eine strategische Position im gesamten Verteidigungssystem aufgewertet. Die Vorteile, die ein Unternehmen mit einer Zero Trust-Architektur sowohl technisch als auch betrieblich gewinnt, sind enorm. Deshalb ist jetzt der Zeitpunkt gekommen, um das erste Projekt zu beginnen und den ersten Schritt in Richtung Zero Trust zu gehen.
Zero Trust ist eine Reise
In diesem Whitepaper werden wir die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen auf die moderne Informationstechnologie im Allgemeinen und auf die Informationssicherheit im Besonderen behandeln.
Firma zum Thema
Fachartikel
Sind Daten Ihr schwächstes Glied?
Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird
Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Studien
Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus
IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper
5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance
Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Unter4Ohren
Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
