Umfrage zur Cloud Security: Automatisierung und Vereinfachung sind in

Umfrage zur Cloud Security von ESG: Automatisierung und Vereinfachung sind in

Lacework-Editorial

June 2, 2021

Umfrage zur Cloud Security von ESG: Point-Produkte sind out, Automation und Plattform-Konsolidierung sind in.

Quelle: ESG, eine Abteilung von TechTarget, führt eine Umfrage zu Trends im Bereich der Cloud-nativen Security durch, Januar 2021

Um Anwendungen in der Cloud sowie die zugrunde liegenden Infrastruktur- und Orchestrierungsebenen wie Kubernetes zu sichern, müssen digitale Unternehmen aus architektonischer wie organisatorischer Sicht mit neuen Security-Anforderungen umgehen. Neue Bedrohungsmodelle müssen angegangen werden, wobei die Rollen von Security- und DevOps-Teams konvergieren (liebevoll DevSecOps genannt). Daraus ergibt sich, was wir gerne das "Shared Irresponsibility Model" nennen. Der veraltete Ansatz zur Sicherung von Monolithen, von der Technologie bis zu den Security-Teams, funktioniert für die Cloud einfach nicht.

ESG befragte kürzlich 383 Experten im Bereich IT und Cybersicherheit in den USA und Kanada, um herauszufinden, wie sich die Verlagerung in die Cloud weiterhin auf die Security in cloud-basierten Unternehmen auswirkt. Die Ergebnisse sind eindeutig: Die dynamische Natur von Cloud- und Container-Umgebungen führt verbreitet zu blinden Flecken und macht die Sicherung von Cloud-Umgebungen besonders anspruchsvoll. Außerdem ziehen die Lücken bei der Ausgereiftheit des DevSecOps-Programms Inkonsistenzen, Fehlkonfigurationen und einen Mangel an kritischer Transparenz nach sich.

Satte 88 % aller Befragten glauben, dass ihr Cybersicherheitsprogramm weiterentwickelt werden muss, um ihre Cloud-nativen und Public-Cloud-Workloads zu schützen.

Sie brauchen einen konsistenten Weg, um Umgebungen zu sichern, und Point-Produkte liefern hier nicht. Kunden, die eine moderne Infrastruktur nutzen, benötigen eine gut integrierte, konsolidierte Cloud-Security-Plattform und müssen sich mit der Nutzung von DevSecOps anfreunden, da sich die Security komplett in die Produktteams verlagert hat.

Wichtige Erkenntnisse aus der Umfrage zur Cloud Security

Die Umfrage konnte Folgendes besonders deutlich machen:

Point-Produkte sind mühsam und teuer.

Die Verwendung mehrerer Point-Produkte bringt hohe Kosten und Komplexität mit sich und führt dazu, dass keine zentralisierten Richtlinien implementiert werden können. Security kann nicht in Silos funktionieren, da sie Teams, Workloads, Richtlinien und Tools umfasst. Kunden benötigen eine einheitliche, integrierte, konsolidierte Security-Plattform.

Abbildung 1 – Umfrage zur Sicherung von modernen Cloud-Apps und Infrastruktur
Abbildung 1: Die fünf größten Herausforderungen der Cloud Security 

74 % berichten von blinden Flecken, die die Security-Überwachung zu einer Herausforderung machen

Wenn Sie etwas nicht sehen können und es nicht verstehen, können Sie es auch nicht beheben. Ohne Zugang zum physischen Netzwerk und angesichts der dynamischen Natur von Cloud-nativen Anwendungen und elastischer Infrastruktur ist der Mangel an Transparenz bei der Cloud Security deutlich zu spüren.

Jeder, der Code schreibt, hat einen entscheidenden Anteil an der Haltung seiner Workloads zur Security, und das macht Fehlkonfigurationen leicht zu schaffen und schwer zu finden. Durch eine effektive Überwachung der Haltung zur Cloud Security lassen sich Anomalien erkennen, die Anzeichen für Kontoübernahmen sein können. Diese ergeben sich häufig aufgrund von Problemen wie privilegierten Cloud-Zugangsdaten, insbesondere von Benutzern mit administrativem Zugang zu Cloud-, Orchestrierungs- und Servicekonten.


Abbildung 2: Schlüssel zur Verbesserung der Security-Transparenz für Cloud-native Apps

Die am häufigsten gemeldeten Arten von Cloud-Fehlkonfigurationen kommen durch einfache menschliche Fehler zustande, wie z. B. mangelhafte IAM-Grundlagen wie die Verwendung von Standard-Passwörtern oder eine fehlende Multi-Faktor-Authentifizierung. Weitere Bedrohungen sind nach außen gerichtete Workloads, die Port-Scans unterliegen, zu freizügige Konten, die von bösen Akteuren ins Visier genommen werden, und nicht autorisierter Zugriff auf Services. Diese Fehlkonfigurationen nehmen ein böses Ende und führen zu Datengefährdungen und zur Einschleusung von Malware, einschließlich Cryptomining-Programmen und Ransomware.

Darüber hinaus zeigen die Auswirkungen auf die SLAs die Notwendigkeit, die Aktualisierung von Infrastructure-as-Code (IaC)-Vorlagen über Kontrollen im Cloud Security Posture Management (CSPM) zu automatisieren.


Abbildung 3: Cloud-native Daten zu Security-Vorfällen

41 % geben an, dass die Automatisierung der Einführung von Kontrollen und Prozessen über eine Integration mit dem Lebenszyklus der Softwareentwicklung und CI/CD-Tools höchste Priorität hat.

Cloud-Innovatoren stellen ihre Workloads zunehmend mit Infrastructure as Code (IaC) bereit, wie z. B. Terraform und Cloudformation, und sie suchen auch nach Möglichkeiten, neben den CI/CD-Workflows ihrer Entwicklungsteams auch die Bereitstellung ihrer Security-Tools nahtlos zu automatisieren.


Abbildung 4: Der Zwang zur Automatisierung treibt die Integration von Security in DevOps voran

Mehr als die Hälfte der Befragten gab an, dass ihre Unternehmen in den nächsten 12 bis 24 Monaten auf eine integrierte Plattform umsteigen möchten.

Der Umstieg zu einer integrierten Cloud-nativen Security-Plattform läuft.

Cloud-basierte Unternehmen benötigen eine zentralisierte Kontrolle über die unzähligen Services, Workloads, Konfigurationen, APIs und Infrastrukturen, die ihr Geschäft unterstützen. Integrierte Plattformen ermöglichen einen zentralisierten Ansatz zur Absicherung heterogener Cloud-nativer Anwendungen, die in verteilten Clouds, Clustern und Teams eingesetzt werden. Eine einzige integrierte Quelle für Security-Daten sorgt für Konsistenz zwischen Entwicklungs- und Security-Teams für die Überwachung und Sicherung von Anwendungen und Infrastruktur.

 

Bevorzugte Security-Kontrollen zum Schutz von Cloud-nativen Anwendungen und Infrastruktur
Abbildung 5: Bevorzugte Security-Kontrollen zum Schutz von Cloud-nativen Anwendungen und Infrastruktur

DIE GUTEN NACHRICHTEN!

Mit der Ausweitung der DevSecOps-Anwendungsfälle über den gesamten Lebenszyklus hinweg können immer mehr Cloud-native Anwendungen geschützt werden. Manchmal werden die Dinge schwieriger, bevor sie einfacher werden, aber die Wahrheit ist, dass die Sicherung der Cloud das Potenzial hat, weitaus skalierbarer, automatisierter, intelligenter und umfassender zu sein als je zuvor.

Sichere Best Practices für DevOps werden endlich über den gesamten Anwendungslebenszyklus hinweg implementiert – von der Entwicklungsphase bis hin zum Aufbau und der Integration in die Bereitstellung und Produktion. Dies führt zu einer Zunahme dieser Cloud-nativen Anwendungen, die mithilfe von DevSecOps-Praktiken geschützt werden.

Automatisierte Security-Praktiken durch Integration mit DevOps

Abbildung 6: Automatisierte Security-Praktiken durch Integration mit DevOps 

Fazit – Zusammenfassung

Zusammenfassend lässt sich sagen: Die Zukunft der Cloud Security sieht rosig aus. Die überwiegende Mehrheit der digitalen Führungskräfte in der Cloud weiß, dass es noch einiges zu tun gibt, um den vollständigen Schutz ihrer Cloud-Infrastruktur und -Workloads zu gewährleisten, aber wenn sie die in der Umfrage genannten Best Practices und Strategien beherzigen, können auch sie mit DevSecOps ihr Glück machen.

Noch mal zum Mitschreiben:

  • Point-Produkte bringen nur mehr Mühen, Kosten und Komplexität.
  • Automatisierung ist erforderlich, um die Security parallel zur Cloud zu skalieren.
  • Fehlkonfigurationen sind häufig und heimtückisch, aber mit Transparenz und Automatisierung zu bewältigen.
  • Security muss in den Entwicklungslebenszyklus eingebettet und in die CI/CD-Tools und -Workflows integriert werden.
  • Eine einheitliche Security-Plattform ist notwendig, um den Teams (DevOps und Security) eine zentrale, gemeinsame Sprache zu geben und sie zu integrieren.

Die vollständigen Umfrageergebnisse können Sie hier nachlesen.