Keine Macht bedeutet mehr Verantwortung

Von Rodman Ramezanian - Berater für Cloud-Sicherheit für Unternehmen, Skyhigh Security

19. Mai 2022 6 Minute gelesen

Wahrscheinlich haben Sie schon einmal den Satz "Mit großer Macht kommt große Verantwortung" gehört. Diese Redewendung, die auch als "Peter-Parker-Prinzip" bezeichnet wird, wurde in der Populärkultur vor allem durch die Spider-Man-Comics und -Filme bekannt, in denen Peter Parker die Hauptfigur ist. Der Satz ist heute so bekannt, dass er sogar einen eigenen Artikel in Wikipedia hat. Der Kern des Satzes ist, dass Sie, wenn Sie die Möglichkeit haben, etwas zum Besseren zu verändern, moralisch verpflichtet sind, dies auch zu tun.

 

Was mir jedoch aufgefallen ist, wenn ich mit Kunden über Cloud-Sicherheit spreche, insbesondere über die Sicherheit von Infrastructure as a Service (IaaS), ist ein Phänomen, das ich als "John McClane-Prinzip" bezeichne - der Name wurde geändert, um die Unschuldigen zu schützen.

Das John-McClane-Prinzip tritt auf, wenn jemandem die Verantwortung für die Behebung eines Problems übertragen wurde, er aber gleichzeitig nicht befugt ist, die notwendigen Änderungen vorzunehmen. Oberflächlich betrachtet mag dieses Szenario absurd klingen, aber ich wette, viele InfoSec-Teams können das Problem nachempfinden. Das Gespräch verläuft in etwa so:

• CEO an InfoSec: Sie müssen dafür sorgen, dass wir in der Cloud sicher sind. Ich möchte nicht der nächste [fügen Sie hier den letzten Verstoß ein] sein.
• InfoSec an CEO: Ja, ich habe mir angesehen, wie wir die Cloud nutzen, und die meisten unserer Probleme sind auf einen Mangel an Prozessen und Wissen zurückzuführen. Wir haben eine ganze Reihe von Teams, die in der Cloud ihr eigenes Ding machen, und ich habe keinen vollständigen Überblick darüber, was sie tun.
• CEO an InfoSec: Toll, bringen Sie es in Ordnung.
• InfoSec zum CEO: Nun, das Problem ist, dass ich keinen Einfluss auf diese Teams habe. Sie können tun, was sie wollen. Um das Problem zu lösen, müssen sie die Art und Weise ändern, wie sie die Cloud nutzen. Wir brauchen die Zustimmung der Manager, aber diese haben mir gesagt, dass sie nicht daran interessiert sind, irgendetwas zu ändern, weil das die Arbeit verlangsamen würde.
• CEO zu InfoSec: Ich bin sicher, Sie werden es herausfinden. Viel Glück, und ich hoffe, es gibt keinen Einbruch.

Das ist der Moment, in dem "ohne Macht kommt mehr Verantwortung" wahr wird.

Und warum ist das so? Der Grund ist, dass Infrastructure-as-a-Service (IaaS) die Art und Weise, wie wir IT nutzen, grundlegend verändert hat und damit auch die Art und Weise, wie wir Sicherheit skalieren. Wir müssen keine Kaufanträge mehr einreichen und langwierige Prozesse durchlaufen, um Infrastrukturressourcen aufzusetzen. Jetzt kann jeder, der eine Kreditkarte besitzt, innerhalb von Minuten das Äquivalent eines Rechenzentrums auf der ganzen Welt einrichten.

Die Agilität hat jedoch einige unbeabsichtigte Änderungen im Bereich InfoSec mit sich gebracht. Um skalieren zu können, kann die Cloud-Sicherheit nicht in der alleinigen Verantwortung eines einzigen Teams liegen. Vielmehr muss die Cloud-Sicherheit in den Prozess eingebettet werden und hängt von der Zusammenarbeit zwischen Entwicklung, Architekten und Betrieb ab. Diese Teams spielen jetzt eine wichtigere Rolle bei der Cloud-Sicherheit und sind in vielen Fällen die Einzigen, die Änderungen zur Verbesserung der Sicherheit umsetzen können. InfoSec agiert jetzt als Sherpas statt als Torwächter, um sicherzustellen, dass jedes Team im gleichen, sicheren Tempo marschiert.

Aber wie John McClane Ihnen sagen kann, bedeutet die Tatsache, dass je mehr Teams sich um die Cloud-Sicherheit kümmern, nicht unbedingt, dass Sie eine bessere Lösung haben. Wenn Sie sich mit mehreren Teams mit unterschiedlichen Prioritäten abstimmen müssen, kann das die Sicherheit noch komplexer machen und Sie ausbremsen. Daher brauchen Sie eine schlanke Sicherheitslösung, die die Zusammenarbeit zwischen Entwicklern, Architekten und InfoSec erleichtert und gleichzeitig Leitplanken bietet, damit nichts durch die Maschen rutscht.

Unser Cloud-Sicherheitsservice wurde speziell für Kunden entwickelt, die Anwendungen in die Cloud verlagern und entwickeln. Wir nennen ihn Skyhigh Cloud-Native Application Protection Platform - oder einfach Skyhigh CNAPP, denn jeder Service verdient ein Akronym.

Was ist Skyhigh CNAPP? Skyhigh CNAPP vereint die Lösungen von Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP), Data Loss Prevention (DLP) und Application Protection in einer einzigen Lösung. Wir haben CNAPP entwickelt, um InfoSec-Teams einen umfassenden Einblick in ihre nativen Cloud-Anwendungen zu ermöglichen. Für uns war das Ziel nicht, die Dinge zu verlangsamen, um sicherzustellen, dass alles sicher ist. Vielmehr ging es darum, wie wir den InfoSec-Teams die Transparenz und den Kontext bieten können, den sie für die Cloud-Sicherheit benötigen, während die Entwicklungsteams schnell arbeiten können.

Lassen Sie mich kurz beschreiben, über welche Funktionen Skyhigh CNAPP verfügt, und einige Funktionen aufzählen, die zu den Kundenfavoriten gehören.

Cloud Service Posture Management (CSPM)

Die überwiegende Mehrheit der Sicherheitsverletzungen bei IaaS ist heute auf Fehlkonfigurationen der Dienste zurückzuführen. Gartner sagte 2016, dass "95 % der Sicherheitslücken in der Cloud durch den Kunden verursacht werden". Im Jahr 2019 hat Gartner dieses Zitat aktualisiert und sagt nun: "99% der Sicherheitsverletzungen in der Cloud werden von den Kunden verschuldet sein." Ich warte auf den Tag, an dem Gartner sagt, dass "105% der Fehler beim Kunden liegen".

Warum ist der Prozentsatz so hoch? Dafür gibt es mehrere Gründe, aber wir hören oft von unseren Kunden, dass es einen großen Mangel an Wissen darüber gibt, wie man neue Dienste sichern kann. Jeder Cloud-Anbieter bringt in einem schwindelerregenden Tempo neue Dienste und Funktionen auf den Markt, ohne dass es irgendwelche Hindernisse für die Einführung gibt. Leider hat die Branche nicht mit dem Tempo Schritt gehalten und verfügt nicht über Mitarbeiter, die wissen und verstehen, wie man diese neuen Dienste und Funktionen am besten konfiguriert. Skyhigh CNAPP bietet Kunden die Möglichkeit, alle Cloud-Dienste sofort zu prüfen und diese Dienste mit den besten Sicherheitspraktiken und Branchenstandards wie CIS Foundations, PCI, HIPPA und NIST zu vergleichen.

Im Rahmen dieses Audits (wir nennen es einen Sicherheitsvorfall) liefert Skyhigh CNAPP detaillierte Informationen darüber, wie die Dienste neu konfiguriert werden können, um die Sicherheit zu verbessern. Der Service bietet aber auch die Möglichkeit, den Sicherheitsvorfall mit Service Level Agreements (SLAs) den Entwicklerteams zuzuweisen, so dass es keine Unklarheiten darüber gibt, wer wofür verantwortlich ist und was geändert werden muss. Alle diese Arbeitsabläufe können automatisiert werden, so dass mehrere Teams nahezu in Echtzeit in der Lage sind, Probleme zu finden und zu beheben.

Darüber hinaus verfügt Skyhigh CNAPP über eine Funktion für benutzerdefinierte Richtlinien, mit der Kunden Richtlinien zur Identifizierung riskanter Fehlkonfigurationen erstellen können, die speziell auf ihre Umgebungen zugeschnitten sind. Außerdem bietet Skyhigh CNAPP Integrationen mit Entwickler-Tools wie Jenkins, Bitbucket und GitHub, die Rückmeldungen zu Implementierungen liefern, die nicht den Sicherheitsstandards entsprechen.

Plattform zum Schutz von Cloud Workloads

IaaS-Plattformen sind zu Katalysatoren für Open-Source-Software (OSS) wie Linux (Betriebssystem), Docker (Container) und Kubernetes (Orchestrierung) geworden. Die Herausforderung bei der Verwendung dieser Tools ist das inhärente Risiko gemeinsamer Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVE), die in Softwarebibliotheken und Fehlkonfigurationen bei der Bereitstellung neuer Dienste gefunden werden. Ein weiteres berühmtes Zitat von Gartner besagt, dass "70% der Angriffe auf Container auf bekannte Schwachstellen und Fehlkonfigurationen zurückzuführen sein werden, die hätten behoben werden können." Aber wie kann das InfoSec-Team diese Schwachstellen und Fehlkonfigurationen schnell erkennen, insbesondere in ephemeren Umgebungen mit mehreren Entwicklerteams, die häufige Releases in CI/CD-Pipelines einspeisen?

Skyhigh CNAPP bietet umfassenden Schutz für Workloads, indem es alle Compute-Instanzen, Container und Container-Services identifiziert, die in IaaS laufen. Gleichzeitig werden kritische CVEs und Fehlkonfigurationen in Repository- und Produktions-Container-Services erkannt und einige neue Schutzfunktionen eingeführt. Zu diesen Funktionen gehören die Auflistung von Anwendungserlaubnissen, die Abhärtung von Betriebssystemen und die Überwachung der Dateiintegrität. Die Einführung von Nano-Segmentierung und On-Prem-Support ist in Kürze geplant.

Kundenfavoriten

• Mandanteninterne DLP-Scans: Viele unserer Kunden haben legitime Anwendungsfälle für öffentlich zugängliche Cloud-Speicherdienste (manchmal auch als Buckets bezeichnet), müssen aber gleichzeitig sicherstellen, dass diese Buckets keine sensiblen Daten enthalten. Die Herausforderung beim Einsatz von DLP für diese Dienste besteht darin, dass viele auf dem Markt erhältliche Lösungen die Daten in die Umgebung des Anbieters kopieren. Dies erhöht die Kosten für den Kunden durch die Egress-Gebühren und führt auch zu Sicherheitsproblemen bei der Datenübertragung. Mit CNAPP können Kunden mandanteninterne DLP-Scans durchführen, bei denen die Daten die IaaS-Umgebung nie verlassen, wodurch der Prozess sicherer und kostengünstiger wird.
• MITRE ATT&CK Framework for Cloud: Die Sprache der Security Operation Centers (SOC) ist MITRE, aber es gibt eine Menge Nuancen, wie Cloud-Sicherheitsvorfälle in dieses Framework passen. Mit Skyhigh CNAPP haben wir einen End-to-End-Prozess entwickelt, der alle CSPM- und CWPP-Sicherheitsvorfälle auf MITRE abbildet. Jetzt können InfoSec- und Entwicklerteams effektiver zusammenarbeiten, indem sie jeden Cloud-Vorfall automatisch MITRE zuordnen, was schnellere Reaktionen und eine bessere Zusammenarbeit ermöglicht.
• Einheitliche Anwendungssicherheit: CNAPP basiert auf der gleichen Plattform wie unser MVISION Cloud Service, ein Gartner Magic Quadrant Leader für Cloud Access Security Broker (CASB). Kunden können jetzt mit derselben Lösung ihre SaaS-Anwendungen und die Anwendungen, die sie in IaaS erstellen, detailliert einsehen und kontrollieren. Unsere Kunden schätzen es, eine Konsole zu haben, die ein ganzheitliches Bild des Anwendungsrisikos für alle Teams liefert - SaaS für Kunden und IaaS für Entwickler.

Es gibt noch viele weitere Funktionen, die ich gerne hervorheben würde, aber stattdessen lade ich Sie ein, die Lösung selbst zu testen. Besuchen Sie https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html für weitere Informationen zu unserer Version oder fordern Sie eine Demo an unter https://www.skyhighsecurity.com/forms/demo-request-form.html. Wir würden uns freuen, wenn Sie uns Ihr Feedback geben und uns sagen, wie Skyhigh CNAPP Ihnen dabei helfen kann, mehr Macht und Verantwortung in der Cloud zu übernehmen.

Zurück zu Blogs