Die anhaltende Wirkung von blinden Flecken in der Wolke
Jesse Stockall, Chefarchitekt bei Schnee-Software, untersucht den anhaltenden Effekt von blinden Flecken in der Cloud in einer Zeit der zunehmenden Abhängigkeit von diesen Technologien.
Für viele Organisationen war 2020 das Jahr der Aufrechterhaltung der Geschäftskontinuität. Unabhängig von der Erfahrung haben viele auch viel über Resilienz gelernt. Aber wenn es im vergangenen Jahr darum ging, das Licht anzulassen, muss es 2021 darum gehen, das zu operationalisieren, was jetzt unsere neue Normalität ist.
Ohne Zweifel hat die Pandemie bewiesen, dass Arbeit von überall her machbar war. Man könnte jedoch sagen, dass Covid-19 das Unvermeidliche nur beschleunigt hat. Um die Produktivität und Effizienz zu steigern, diversifizierten Unternehmen bereits ihren Technologie-Stack, indem sie SaaS-Modelle einführten und geschäftskritische Geschäfte in die Cloud (oder mehrere Clouds) migrierten, oft zusätzlich zur Aufrechterhaltung wertvoller, lokaler Legacy-Lösungen.
Zu diesem immer komplexer werdenden Technologiemix kommt eine plötzliche Umstellung auf Remote-Arbeit hinzu, bei der Benutzer auf Cloud-Dienste zugreifen und Anwendungen außerhalb des Unternehmensnetzwerks kostenlos direkt auf ihre zu Hause stationierten Laptops herunterladen können. Infolgedessen sieht sich die IT nun einem Berg von Technologiewuchern gegenüber, ganz zu schweigen von den echten Herausforderungen der Schatten-IT.
Und als ob das nicht genug wäre, tauchen neben einer wachsenden Abhängigkeit von Cloud-Instanzen auch Sicherheitsrisiken auf. Anfang 2021 wurde die Verletzung von SolarWinds öffentlich bekannt, und die Details sind besorgniserregend. Ihre Orion-Software ist ein beliebtes Netzwerkverwaltungssystem, das die verschiedenen Komponenten des Netzwerks einer Organisation überwacht und verwaltet. Eine lange Liste von Organisationen nutzt Orion, um den gesamten Umfang ihres Netzwerks zu sortieren, einschließlich Multi-Cloud-Services. Bösartiger Code wurde in den Orion-Entwicklungsprozess eingefügt und als typisches Software-Update veröffentlicht, wodurch alle Organisationen, die ihn verwenden, infiziert wurden.
Dieser Verstoß hat uns zwei wichtige Lektionen gelehrt: Wenn Sie Ihre Technologie-Lieferkette nicht verteidigen, könnten Angreifer das eine schwache Glied haben, das sie brauchen, um in Ihr Netzwerk einzudringen, und obwohl Komplexität in modernen Technologie-Stacks unvermeidlich ist, ist unnötige Komplexität riskant.
Das Komplexitätsrätsel
Die heutigen IT-Teams stehen vor der Herausforderung, ihren sich ändernden Technologiemix zu operationalisieren und die damit verbundenen Risiken zu managen, insbesondere wenn es um Cloud-Umgebungen geht.
Wissen Sie beispielsweise, wie viele Cloud-Umgebungen Ihr Unternehmen heute nutzt? Welche Workloads laufen darauf und wer verwendet sie? Haben Sie mehr Lizenzen als Sie benötigen? Sammeln Sie ungenutzte Abonnements wieder ein, anstatt einfach mehr zu kaufen? Diese und andere Fragen haben sicherlich finanzielle Auswirkungen.
Ohne einen Überblick darüber, was Sie haben und wie Sie es verwenden, geben Sie wahrscheinlich zu viel aus und nutzen es zu wenig. Darüber hinaus schafft der Mangel an Transparenz und Kontrolle über Ihre Cloud-Computing-Ressourcen ein komplexes Wirrwarr, das ein erhebliches Sicherheitsrisiko und potenzielle Compliance-Verstöße darstellt. Nehmen Sie als Beispiel die Anwendungsentwicklung. Ein Großteil der heutigen Arbeit hat sich von einem vollständig von Grund auf neu erstellten Modell zu einem Modell verlagert, bei dem Sie wahrscheinlich bauen, während Sie eine riesige Sammlung von Open-Source-Komponenten und Cloud-Diensten zusammenstellen. Dies ermöglicht eine schnelle und einfache Entwicklung, stellt aber auch blinde Flecken dar, wenn Open-Source-Projekte Updates und Fixes erhalten, die nicht an Ihr Produkt weitergegeben werden. Dies könnte zu einem erhöhten Lieferkettenrisiko führen, wie dies bei der Verletzung von SolarWinds der Fall war. Wenn Ihre Entwickler Open-Source-Code nicht ordnungsgemäß beschaffen, riskieren Sie nicht nur Bußgelder bei Nichteinhaltung oder Anforderungen zur Offenlegung des Quellcodes, sondern sind auch anfällig für Sicherheitslücken.
In größerem Maßstab betrachtet, kann das komplexitätsgetriebene Sicherheits- und Compliance-Risiko sogar noch kostspieliger sein. Angenommen, Sie sind ein Hybrid- oder Multi-Cloud-Kunde, der auch auf bestimmte lokale Lösungen, ein Co-Location-Center und öffentliche Cloud-Dienste angewiesen ist. In diesem Fall unterstützt Ihr Legacy-Sicherheitsstack den Mix wahrscheinlich nicht so gut, wie er sollte. Und Ihr Sicherheitsteam verfügt möglicherweise nicht über die Fähigkeiten, Cloud-Container, lokale Legacy-Systeme, mobile Geräte und Endpunkte bis ins kleinste Detail zu verstehen. Ihre Wahl wird dann zu unterdurchschnittlicher Sicherheit oder viel zu vielen Köchen in der Küche, jeder mit seiner eigenen Technologie-Agenda, was die Schwelle Ihrer Komplexität nur erhöht.
Die Notwendigkeit einer besseren Mausefalle
Das Problem der Sicherheit in der Cloud wird heute durch das Modell der gemeinsamen Verantwortung weiter verkompliziert. Wenn Sie sich auf einen Drittanbieter-Cloud-Service wie Amazon AWS verlassen, Microsoft Azure oder Google Cloud sichern sie nur ein grundlegendes Sicherheitsniveau für ihre Plattform. Dies ist eine zu oft vergessene Tatsache, und die Tendenz geht zu denken, „Amazon schützt unsere Daten“, wenn Sie in Wirklichkeit ein miteinander verbundenes Spinnennetz von Anwendungen und Berechtigungen haben, die alle anderen Systeme betreffen.
Wenn etwas schief geht, können Sie Amazon nicht anrufen und sie bitten, das Problem zu beheben. Wer kann Ihnen stattdessen helfen, das Problem zu lösen? Ihre internen Mitarbeiter? Der Cloud-Anbieter? Ein Softwareanbieter? Ihr Netzwerkanbieter? Herauszufinden, wo das Problem in diesem Sinne aufgetreten ist, ist eher wie ein Clue-Spiel, bei dem Sie suchen, wer es getan hat und womit. Es ist ein Teufelskreis, der zu keinen wirklichen Fortschritten führen kann.
Die beste Verteidigung gegen diese Komplexität besteht darin, zu verstehen, wofür Ihr Cloud-Drittanbieter (oder Ihre Anbieter) gemäß ihrer Richtlinie zur geteilten Verantwortung verantwortlich ist, und dies mit Ihrem IT- und Sicherheitsteam zu kommunizieren. Mit dieser Baseline können Sie von dort aus Pläne zur Reaktion auf Vorfälle erstellen.
Der zweite Schritt, den Sie unternehmen können, um Ihr Sicherheits- und Compliance-Risiko abzustützen, liegt in der Kraft der Automatisierung. Um mit dem Anwendungsentwicklungsbeispiel fortzufahren: Ihr Team verfügt möglicherweise über Hunderte von Quellcode-Repositories mit Dutzenden bis Hunderten von Komponenten, die alle zu einem Produktportfolio zusammengesetzt sind. Es ist menschlich nicht möglich, mit einem manuellen Prozess den Überblick über alles zu behalten, was gebaut wird. Die Automatisierung beschleunigt das Tempo und verbessert die Genauigkeit drastisch, sodass keine Details übersehen werden.
Auch hier ist es eine komplexe Aufgabe, dieses Problem in größerem Maßstab zu betrachten und den Überblick über das komplexe Menü von Cloud-Diensten, Anwendungen, lokalen Legacy-Systemen, mobilen Endpunkten und allem anderen zu behalten, was für Ihr Unternehmen unternehmenskritisch ist. Dennoch ist Transparenz unerlässlich, um Ihr Sicherheits- und Compliance-Risiko in den Griff zu bekommen, ganz zu schweigen von der Durchführung der erforderlichen Due Diligence Ihres IT-Budgets.
WEITERLESEN:
- 5 Cloud-Computing-Trends, die Sie berücksichtigen müssen
- Die Zukunft der Hybrid Cloud
- Auf der Suche nach einer agilen Reise in die Cloud: Ist die Zukunft automatisiert?
- Unterstützung Ihrer Remote-Mitarbeiter: Cloud-Migration für Ihr Unternehmen in fünf Schritten
Beleuchten Sie die blinden Flecken mit Sichtbarkeit
Eine heterogene IT-Umgebung hat ihre Vorteile – sie ermöglicht es Ihnen, die besten Tools zu wählen, Ihr Budget zu maximieren und ein widerstandsfähiges Technologie-Backbone aufzubauen. Aber ein Riss in der Rüstung, und alles ist plötzlich prekär. Es ist keine leichte Aufgabe, herauszufinden, wie das Problem behoben werden kann. Mit einem Einblick in Ihr Netzwerk, Ihre Cloud-Dienste, Ihre Produktentwicklung und Ihre Benutzer können Sie jedoch erhebliche Gewinne bei Ihren Sicherheits- und Compliance-Risiken und Ihrem Budget erzielen. Ohne sie tappen Sie im Dunkeln.
Folge uns auf LinkedIn und Twitter
