Es ist jedoch erw\u00e4hnenswert, dass die Implementierung von SaC nicht bedeutet, dass die Sicherheits\u00fcberwachung, der Schutz in der Produktion, Penetrationstests oder ethische Hacking-Teams abgeschafft werden. Security as Code wird eine weitere Sicherheitsebene schaffen, mit Input von anderen Teams und mehr sicherheitsorientierten Tools. Es ist damit eine der drei wichtigsten M\u00f6glichkeiten, Sicherheit in den DevOps-Prozess zu integrieren.<\/p>\n\n\n\n
Virtuelle Umgebungen, Hybrid-Clouds und kundenspezifische Systeme schaffen komplexe IT-Welten. Viele IT-Probleme erfordern umfangreiche manuelle Reparaturma\u00dfnahmen und die Zusammenarbeit von klassischen IT-Administratoren und DevOps. Probleme, die im IT-Betrieb auftreten, werden durch weitgehende Automatisierung verschiedener IT-Prozesse sofort gel\u00f6st.<\/p>\n\n\n\n
Durch die Einf\u00fchrung von Security as Code wird die Anwendungsentwicklung eng mit dem Sicherheitsmanagement verzahnt. So k\u00f6nnen sich Ihre Entwickler auf die Kernfunktionen konzentrieren und das Konfigurations- und Berechtigungsmanagement f\u00fcr Sicherheitsteams wird vereinfacht. Dies verbessert die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams und tr\u00e4gt zur F\u00f6rderung einer Sicherheitskultur im gesamten Unternehmen bei.<\/p>\n\n\n\n
Marktanalysten sagen oft, SaC gehe noch einen Schritt weiter, indem es Cybersicherheitsrichtlinien und -standards programmatisch definiert. So kann in den Konfigurationsskripten, die f\u00fcr die Bereitstellung von Cloud-Systemen verwendet werden, automatisch auf sie verwiesen werden und Systeme, die in der Cloud laufen, k\u00f6nnen mit Sicherheitsrichtlinien abgeglichen werden, um ein \u201eAbdriften“ zu verhindern.<\/p>\n\n\n\n
Legt das Unternehmen beispielsweise eine Richtlinie fest, dass alle personenbezogenen Daten bei der Speicherung verschl\u00fcsselt werden m\u00fcssen, wird diese Richtlinie in einen Prozess \u00fcbersetzt. Dieser wird automatisch eingeleitet, sobald Entwickler einen Code einf\u00fcgen. Code, der gegen die PII-Richtlinie verst\u00f6\u00dft, wird automatisch abgelehnt.<\/p>\n\n\n\n
![\"\"](\"https:\/\/network-king.net\/wp-content\/uploads\/2021\/08\/SaC2-1024x673.jpg\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/network-king.net\/wp-content\/uploads\/2021\/08\/SaC1-1024x675.jpg\")
<\/figure><\/div>\n\n\n\nWie umsetzen?<\/h2>\n\n\n\n
Sicherheit als Code gibt es im Allgemeinen in drei verschiedenen Formen: Sicherheitstests, Schwachstellen-Scans und Zugriffsrichtlinien. Jedes dieser Elemente erm\u00f6glicht es Entwicklerteams, Sicherheitsprobleme schon fr\u00fch in der Entwicklung zu erkennen. So k\u00f6nnen sie direkt behoben werden. Es muss also nicht gewartet werden, bis das Projekt fertig ist und aufgrund von Sicherheitsproblemen nicht mehr verwendet werden kann. Wenn Sie die Denkweise \u201eSicherheit als Code“ \u00fcbernehmen, kodifizieren Sie die Zusammenarbeit genau dort, wo Ihre Entwicklerteams arbeiten. Sicherheit als Code bringt die Entwickler- und Sicherheitsteams zusammen, damit sich jedes auf seine Kernkompetenzen konzentrieren kann.<\/p>\n\n\n\n
Schwachstellen-Scans konzentrieren sich im Gegensatz zu Sicherheitstests eher auf Sicherheitsschwachstellen, die ein Angreifer ausnutzen kann. Angreifer suchen in einer Anwendung regelm\u00e4\u00dfig nach Schwachstellen wie SQL Injection oder Cross-Site Scripting. Schwachstellen-Scans helfen dabei, bekannte Sicherheitsrisiken in Ihrer Anwendung zu identifizieren, die behoben werden k\u00f6nnen. Zu Beginn k\u00f6nnen Sie Schwachstellen-Scanner zwar noch einsetzen, aber ab einem gewissen Punkt sind diese wenig hilfreich. Nach regelm\u00e4\u00dfigen Patches und Updates werden die Scans fast keine Schwachstellen mehr aufzeigen. Sie sollten dann Pentesting oder Bug Bounty-Programme in Betracht ziehen.<\/p>\n\n\n\n
Bei Sicherheitstests wird der Code auf ein Problem gepr\u00fcft, das eine Bedrohung f\u00fcr die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit (CIA-Dreiklang) der Anwendung darstellen k\u00f6nnte. Ein h\u00e4ufiges Missverst\u00e4ndnis besteht darin, dass Sicherheitstests durchgef\u00fchrt werden, um Angriffe zu verhindern. Denn Sicherheit ist mehr als nur das Verhindern von Angriffen. Sie umfasst auch versehentliche Fehlfunktionen, Datenverletzungen und vieles mehr, das nicht von einem Angreifer stammt. So ist beispielsweise ein Server- oder Firewall-Ausfall oder eine Fehlfunktion ein Sicherheitsproblem \u2013 auch wenn kein Angreifer beteiligt ist. Bei Sicherheitstests wird \u00fcberpr\u00fcft, ob die Anwendung sicher und vor Sicherheitsrisiken gesch\u00fctzt ist. Dazu legen Sie Sicherheitsstandards fest und testen, ob Ihre Anwendung diese Standards erf\u00fcllt.<\/p>\n\n\n\n
Zugriffskontrolle und Richtlinienverwaltung werden verwendet, um Grenzen innerhalb der Logik und des Ablaufs der Anwendung zu definieren. So sollte beispielsweise ein Benutzer, der auf einer E-Commerce-Website etwas kaufen m\u00f6chte, nicht in der Lage sein, den Preis eines Produkts zu \u00e4ndern. Die M\u00f6glichkeit, den Preis zu \u00e4ndern, sollte nur Administratoren oder Eigent\u00fcmern gestattet sein. Diese Logik wird durch Zugriffskontrolle und Richtlinienverwaltung kontrolliert.<\/p>\n\n\n\n
Vorteile<\/h2>\n\n\n\n
Der erste Vorteil von SaC ist die Geschwindigkeit. Um die gesch\u00e4ftlichen Vorteile der Cloud in vollem Umfang nutzen zu k\u00f6nnen, m\u00fcssen die Sicherheitsteams in einem Tempo arbeiten, an das sie in lokalen Umgebungen nicht gew\u00f6hnt sind. Manuelle Eingriffe f\u00fchren zu Reibungsverlusten, die die Entwicklung verlangsamen und den Wertbeitrag der Cloud f\u00fcr das Unternehmen insgesamt schm\u00e4lern.<\/p>\n\n\n\n
Der zweite Vorteil ist die Risikominderung. Die Sicherheitskontrollen vor Ort ber\u00fccksichtigen selten die Feinheiten der Cloud. Cloud-Sicherheit erfordert, dass die Kontrollen w\u00e4hrend des gesamten Lebenszyklus eines Workloads durchgef\u00fchrt werden. Die einzige M\u00f6glichkeit, dieses Niveau an integrierter Sicherheit zu erreichen, ist SaC.<\/p>\n\n\n\n
Und schlie\u00dflich ist SaC ein Business Enabler: Sicherheits- und Compliance-Anforderungen werden immer wichtiger f\u00fcr die Kernprodukte und -dienste von Unternehmen. In diesem Sinne beschleunigt SaC nicht nur die Zeit bis zur Marktreife, sondern erweitert auch die M\u00f6glichkeiten f\u00fcr Produktinnovation und Kreativit\u00e4t, ohne dabei die Sicherheit zu beeintr\u00e4chtigen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Bestehende Cybersicherheitsarchitekturen und Betriebsmodelle l\u00f6sen sich auf, wenn Unternehmen \u00f6ffentliche Cloud-Plattformen \u00fcbernehmen. Warum? Weil nahezu alle Sicherheitsverletzungen in der Cloud auf eine falsche Konfiguration zur\u00fcckzuf\u00fchren sind \u2013 mehr noch als auf Angriffe, die die Infrastruktur gef\u00e4hrden. Die Cloud erfordert eine sichere Konfiguration von Anwendungen und Systemen. Herk\u00f6mmliche Cybersicherheitsmechanismen sind jedoch nicht daf\u00fcr ausgelegt, eine sichere…<\/p>\n","protected":false},"featured_media":2238,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-2378","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/2378","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=2378"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/2238"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=2378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=2378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=2378"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=2378"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=2378"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=2378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}