Angesichts der zunehmenden Beliebtheit von Cloud-Computing sollten Unternehmen den Schutz ihrer Daten im Auge behalten. Unternehmen beschleunigen Public- und Hybrid-Cloud-Initiativen, und der Release-Zyklus für die Häufigkeit der Code-Bereitstellung entwickelt sich oft exponentiell. Vor diesem Hintergrund haben Palo Alto Networks und Deloitte ihre strategische Allianz um ein neues SSDL-Angebot (Secure Software Development Lifecycle) erweitert. Ziel ist es, die Cloud-Umgebungen ihrer Kunden mit erweiterten Sicherheitsmaßnahmen vom Code bis zur Cloud zu stärken.
Die Erweiterung ermöglicht es Unternehmen, Risiken zu minimieren und einen sicheren Entwicklungs- und Bereitstellungslebenszyklus zu fördern, der ihre individuellen Anforderungen an Cloud-Sicherheit und Compliance erfüllt. In der Studie „State of Cloud-Native Security 2023“ von Palo Alto Networks gaben 55 Prozent der Befragten an, dass sie täglich oder mehrmals täglich Code in der Produktion bereitstellen. Wenn sich der Code-Release-Zyklus erhöht, steigt auch das Risiko, dass Schwachstellen und Fehler in die Bereitstellung gelangen.
Die zunehmende Nutzung der Cloud und von Open-Source-Software sowie die häufigere Bereitstellung von Software schaffen eine komplizierte Umgebung, die das Risiko für das Unternehmen erhöht. Ein Entwickler kann leicht ein Paket einbinden, das eine Schwachstelle enthält (z. B. Log4j). Die Cloud-Umgebung wird dadurch der Gefahr ausgesetzt, dass Angreifer sich Zugang verschaffen und möglicherweise Kundendaten, Code sowie die Betriebszeit der Anwendung gefährden. Die fünf wichtigsten Sicherheitsvorfälle sind:
- frühzeitige Einführung von Risiken in der Anwendungsentwicklung,
- Workload-Images mit Sicherheitslücken oder Malware,
- anfällige Web-Anwendungen und APIs,
- uneingeschränkter Netzwerkzugang zwischen Workloads sowie
- Ausfallzeiten aufgrund von Fehlkonfigurationen.
Das Sicherheitsteam muss dies verhindern, aber es ist den Entwicklern zahlenmäßig unterlegen und muss mit den Release-Zyklen Schritt halten, ohne Verzögerungen zu verursachen.
Shift Left Security in der Cloud
Mit den richtigen Strategien können Unternehmen eine sichere Cloud-Umgebung aufrechterhalten und gleichzeitig die Vorteile von Cloud-basierten Diensten nutzen. Eine führende Strategie, die Unternehmen in Betracht ziehen sollten, ist Shift Left Security. Dieser proaktive Ansatz zielt auf die frühzeitige Erkennung und Behebung von Schwachstellen und Fehlern während des Entwicklungszyklus ab, bevor sie in der Produktion eingesetzt werden. Als die größten Herausforderungen bei der Bereitstellung übergreifender Sicherheit gelten:
- ganzheitliche Sicherheit über alle Teams hinweg verwalten,
- Einbettung der Sicherheit in den gesamten Lebenszyklus der Cloud-Native-Entwicklung,
- Schulung von IT-/Entwicklungs-/Sicherheitsfachkräften in der Verwendung von Sicherheits-Tools
- mangelnde Sichtbarkeit von Sicherheitsschwachstellen bei Cloud-Ressourcen sowie
- Suche nach den richtigen Tools zur Erfüllung der Sicherheitsanforderungen.
Das Kernkonzept der Shift Left Security besteht in der effektiven Integration von Sicherheitstools in den DevOps-Lebenszyklus, so dass Entwickler in ihrer gewohnten Umgebung arbeiten können, während sie Warnungen zu potenziellen Problemen erhalten.
Der „Shift Left“-Sicherheitsansatz befähigt Entwicklungsteams, die Verantwortung für die Sicherheit zu übernehmen, und fördert eine proaktive Sicherheitsmentalität. So können Entwickler von Anfang an sichere und widerstandsfähige Anwendungen erstellen. Dadurch wird das Risiko minimiert, dass Schwachstellen durch die Maschen schlüpfen, bevor sie die Produktionsumgebung erreichen. Indem sie der Sicherheit schon früh im Entwicklungsprozess Priorität einräumen, können Unternehmen die potenziellen Auswirkungen von Sicherheitsvorfällen erheblich reduzieren und dafür sorgen, dass ihre Anwendungen von Anfang an stark und sicher sind.
DevOps-Teams können im Rahmen des „Shift Left“-Ansatzes verschiedene Sicherheitsaktivitäten durchführen – das Scannen von Infrastructure-as-Code, Container-Images, Geheimnissen sowie die Analyse der Softwarezusammensetzung. Die Implementierung dieser Prozesse in einer komplexen Multi-Cloud-Umgebung kann jedoch eine Herausforderung darstellen.
Rationalisierung der Cloud-Sicherheit
Der Schutz von Cloud-Umgebungen erfordert einen standardisierten Ansatz, um sicherzustellen, dass diese widerstandsfähig, gesetzeskonform und sicher sind. Unternehmen können dies erreichen, indem sie die Account-Bereitstellung rationalisieren und sichere Build- und Deployment-Praktiken erleichtern. Ebenso gilt es, starke Protokollierungs- und Überwachungsmechanismen zu implementieren, benutzerdefinierte Leitplanken durchzusetzen und Abhilfemaßnahmen zu automatisieren.
Wenn SSDL effektiv ausgeführt wird, integriert es Shift Left Security in die DevSecOps-Pipeline und scannt den Code frühzeitig im Prozess, um Schwachstellen und andere Probleme zu identifizieren. Dies fördert eine Kultur des „Secure-by-Design“ und die Sichtbarkeit von Sicherheitslücken. Durch die frühzeitige Identifizierung von Problemen wird eine enge Zusammenarbeit zwischen den Entwicklungs-, Betriebs- und Sicherheitsteams gefördert und die Agilität und Automatisierung vorangetrieben.
Das primäre Sicherheitsziel des SSDL-Modells besteht darin, manuelle Kontrollen zu reduzieren oder zu beseitigen. Diese haben in der Vergangenheit Geschäfts- und IT-Teams behindert, etwa durch Probleme mit der Zykluszeit, Fehlalarme und ineffizienten Output.
Die Herausforderungen haben auch zu dem Problem beigetragen, dass Fehler erst später im Entwicklungszyklus erkannt werden, wenn sie kostspieliger und schwieriger zu beheben sind. SSDL nutzt modernste Technologien wie Prisma Cloud, Cortex XSOAR, proprietären Code und integrierte Workflows, um Unternehmen bei der effektiven Erfüllung ihrer besonderen Anforderungen zu unterstützen. Unabhängig davon, ob Unternehmen eine Designstrategie implementieren, taktische Builds erstellen, implementieren oder eine kontinuierliche Beobachtbarkeit durch Bewertungen benötigen, lässt sich SSDL effektiv als Teil der Gesamtlösung integrieren.
Ebenso kann es in ein bestehendes Cloud-Sicherheits- und Compliance-Ökosystem integriert werden. Darüber hinaus ist SSDL so konzipiert, dass es hochgradig skalierbar ist und verschiedene Multi-Cloud-Plattformen unabhängig von der individuellen Cloud-Einführung unterstützt.
Quelle: Palo Alto Networks und DeloitteSSDL sorgt in jeder Phase für Sicherheit: Code und Build, Deploy und Run. Die SSDL-Beschleuniger ermöglichen eine schnellere Bereitstellung von sorgfältig geprüften und sicher konfigurierten Infrastrukturen und Anwendungen in Cloud-Umgebungen. Das bedeutet, dass Unternehmen die bereitgestellte Infrastruktur kontinuierlich auf Konfigurationsabweichungen überwachen und gleichzeitig automatisierte Workflows durchsetzen können, um kontinuierliche Sicherheit und Compliance zu gewährleisten. Indem Unternehmen die Sicherheit von Anfang an in den Entwicklungsprozess integrieren, können sie Schwachstellen und Risiken effektiv angehen und einen sicheren und effizienten Multi-Cloud-Betrieb ermöglichen.
Bei der Entwicklung von SSDL entschied sich Deloitte für die Zusammenarbeit mit Palo Alto Networks, da das Unternehmen marktführende Technologie anbietet, die Unternehmen die anerkannten Ergebnisse liefert. Der Übergang zu einem SSDL, der von Prisma Cloud und Cortex XSOAR unterstützt wird, ist ein strategischer und iterativer Ansatz, der vielfältige Vorteile mit sich bringt.
Zu diesen potenziellen Vorteilen gehören verbesserte Sicherheitsmaßnahmen, erhöhte betriebliche Effizienz, verbesserte Produktqualität, Angleichung an Industriestandards, geförderte Zusammenarbeit zwischen Teams, Kostensenkung und Fortschritte auf dem Weg zu einer starken und zukunftssicheren Sicherheitsposition.
Durch die Umsetzung von Shift Left Security und die proaktive Überwachung potenzieller Bedrohungen bleiben wichtige Daten sicher, während Unternehmen gleichzeitig die Vorteile von Cloud-Diensten voll ausschöpfen. Mit SSDL lassen sich potenzielle Probleme frühzeitig erkennen und beheben, bevor ernsthafter Schaden entsteht. Darüber hinaus hilft dies, dass sich Teams auf andere wichtige Aufgaben konzentrieren können. Wenn ein Unternehmen nach Möglichkeiten zur Verbesserung seiner Cloud-Strategie sucht, ist es gut beraten, den „Shift Left“-Ansatz und Managed Cloud Security in Erwägung zu ziehen.
Jane Chung ist Geschäftsführerin bei Deloitte & Touche LLP.
