Zero Trust und DevOps, zwei Paradigmenwechsel, die auch Ihre Cybersicherheit grundlegend verändern werden. Wie sehr sich diese beiden Ansätze ergänzen und welche Vorteile Sie daraus ziehen können, zeigen wir Ihnen in diesem Blogbeitrag.
Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf den Alltag aus. Der sichtbarste Effekt ist die Weiterentwicklung von Endgeräten – vom klassischen Unternehmens-Desktop-Computer, über Unternehmens-Notebooks, bis hin zu BYOD und Tablets.
Parallel dazu beobachten wir eine Weiterentwicklung der auf diesen Geräten installierten Anwendungen. Im Zeitalter des Desktop-Computers waren Client-Server-Architekturen die Norm. Mit dem Aufkommen von Browsertechnologien verschwand der Grossteil der Geschäftsfunktionen vom Endgerät (Client) und wurden durch Webportale ersetzt. Heutzutage wird ein Teil der Logik in Form von mobilen Apps und browserbasierten Einzelseitenanwendungen zurück auf den Client verlagert. Diese Apps werden über App Stores einfach verteilt und verkauft. Der Server heisst nicht länger Portal, sondern Ressource und REST ist das bevorzugte Protokoll, um mit diesen Ressourcen zu interagieren.
Gleichzeitig haben sich auch die Betriebsmodelle verändert. Heute werden Rechenressourcen auch als Service genutzt und Unternehmen verlagern ihre IT-Dienste teilweise oder vollständig in die Cloud. Dies beinhaltet einen gewissen Verlust der Kontrolle über die Infrastruktur und ihre Pflege, da die betriebliche Kontrolle an den Anbieter der Cloud-Infrastruktur delegiert wird. All dies führt dazu, dass neue Risiken und Bedrohungen für Unternehmen entstehen, «Vertrauen» neu definiert und die Cybersicherheit überdenkt werden müssen.
Zero Trust – wem kann man noch trauen?
Zunächst galt das klassische «Castle and Moat»-Konzept als ausreichend, um den Perimeter des internen Netzwerks zu schützen und alles und jeden im internen Netzwerk als «vertrauenswürdig» zu akzeptieren. Die heute bewährte Sicherheitspraxis empfiehlt eine Architektur, welche die Zugriffskontrolle vom Perimeter in Richtung der Dienste verschiebt. Das heisst die Zugriffskontrolle erfolgt durch die Applikation selbst oder eine Sicherheitskomponente, welche unmittelbar davorsteht. Hier stellt sich die Frage, welche Sicherheitstools am besten geeignet sind, um den Wechsel zu einer Zero Trust-Architektur zu bewerkstelligen. Zero Trust ist ein recht modernes Konzept und ein Ansatz der Cybersicherheit von Grund auf ändert. Anstatt zu versuchen, eine interne und sichere Vertrauenszone vor böswilligen Angreifern von aussen zu schützen, schreibt Zero Trust vor, dass jede einzelne Anfrage als nicht vertrauenswürdig gilt, bis das Gegenteil bewiesen ist. Was darunter genau zu verstehen ist und weshalb der Wechsel zu einer Zero Trust-Architektur nicht über Nacht geschieht, haben wir Ihnen bereits in einem früheren Blogbeitrag geschildert.
DevOps – schneller auf Kundenanforderungen reagieren
In der zunehmend digitalen und software-basierten Welt hängt der Erfolg eines Unternehmens auch davon ab, wie schnell (und sicher) Dienste entwickelt und bereitgestellt werden können. Hierzu kann DevOps ein Wegbereiter sein. DevOps ist nebst «Zero Trust» ein zweiter Paradigmenwechsel. Er fordert Unternehmensstrukturen mit separaten Verantwortlichkeiten für Netzwerke, Speicher, Betriebssysteme und Anwendungen heraus. Dieser Wechsel wird durch die Verlagerung in die Cloud beschleunigt, weil der gesamte Infrastrukturbetrieb ausgelagert wird. Cloud-Anbieter stellen weitere Dienste für die Integration in Anwendungen und Tools bereits, um die Entwicklung und automatische Installation von Anwendungen zu ermöglichen. Im Wesentlichen ermöglicht der Cloud-Anbieter den Wechsel zu DevOps, indem er Dienste für Entwickler und DevOps bereitstellt, auf denen diese aufbauen können, um in der Lage zu sein, sich voll und ganz auf die Implementierung der Geschäftsfunktionen zu konzentrieren.
DevOps steht aber auch symbolisch für eine neue Kultur von zusammenarbeitenden Abteilungen, die historisch eher unterschiedliche Ziele verfolgten: Die Softwareentwicklung muss agil, kreativ und am Puls der technologischen Entwicklung sein, um ständig neue Features liefern zu können. Im Gegensatz dazu ist der IT-Betrieb auf Stabilität, Sicherheit und Verlässlichkeit ausgerichtet. DevOps versucht nun genau diesen scheinbaren Widerspruch zwischen Agilität und Stabilität zu vereinen. Als logische Weiterentwicklung der agilen Softwareentwicklung soll durch DevOps die gesamte Wertschöpfungskette interdisziplinär einbezogen werden und bestehendes Silo-Denken aufgebrochen werden. um schlussendlich bessere und zuverlässigere Lösungen für die Kunden zu liefern.
Praktische Umsetzung von Zero-Trust und DevOps – demnächst in diesem Blog
Die Tage für die reine Perimetersicherheit sind vorbei. Zero Trust und DevOps erfordern Veränderungen im Unternehmen sowie neue Tools wie Microgateways zur Implementierung. Auch erfordert es viel Aufwand, bis ein grosses Unternehmensnetzwerk migriert ist. Die bestehenden Lösungen für die Perimetersicherheit werden nicht ersetzt. Ihre Funktion wird von lediglich von einer Alltagsrolle auf eine strategische Position im gesamten Verteidigungssystem aufgewertet. Die Vorteile, die ein Unternehmen mit einer Zero Trust-Architektur sowohl technisch als auch betrieblich gewinnt, sind enorm. Deshalb ist jetzt der Zeitpunkt gekommen, um das erste Projekt zu beginnen und den ersten Schritt in Richtung Zero Trust zu gehen. In unserem Whitepaper finden Sie bestimmt wertvolle Informationen dazu – machen Sie sich auf die Reise «Zero Trust».
Sie sehen: Das Verfolgen der Zero-Trust- und DevSecOps-Paradigmen bringt zahlreiche Vorteile. Ein glücklicher CISO und ein agiler Deployment-Prozess, der wiederum zu einer kürzeren Time-to-Market von Innovationen führt. Aber all das in der Praxis umzusetzen, ist nicht trivial, selbst wenn man nur eine einzige Umgebung hat. Wie es Ihnen trotzdem gelingt, wollen wir Ihnen in der kommenden Woche mit praktischen Beispielen aufzeigen.