Start Cloud Bereitstellung von Leitplanken für Entwickler, um Innovationen zu schaffen und gleichzeitig sicher...

Bereitstellung von Leitplanken für Entwickler, um Innovationen zu schaffen und gleichzeitig sicher in der Cloud zu bleiben

3
0


Beständigkeit gegen Wolken

Die Einführung der Cloud in Unternehmen wurde hauptsächlich von Entwicklern vorangetrieben, die ihre Agilität nutzen möchten. Diese Entwickler bewegen sich oft sehr schnell und stehen unter dem Druck, neue Produkte auf den Markt zu bringen, die Wettbewerbsvorteile bieten. Die Geschwindigkeit der Entwicklung in Kombination mit einem Mangel an Cloud-Sicherheitsexpertise führt oft dazu, dass Ingenieure und Entwickler bestimmte Sicherheits- und Compliance-Richtlinien umgehen. Das Ergebnis ist eine chaotische „Wild, Wild West“-Cloud-Umgebung.

Neben innovativen Apps und Diensten sind Datenschutzverletzungen aufgrund von Fehlkonfigurationen und anderen Sicherheitslücken ein häufiges Nebenprodukt dieser „Kostenlos für alle“-Mentalität. Dieser Artikel gibt Ratschläge, wie Unternehmen ihre Entwickler und Ingenieure stärken können, indem sie einen sicheren Rahmen für den Betrieb bereitstellen, damit sie agil und innovativ bleiben können, ohne versehentlich die Sicherheit zu beeinträchtigen.

Schlechte Angewohnheiten

Sehen wir uns zunächst die üblichen Praktiken von Entwicklern und Ingenieuren an, die zu Sicherheitslücken führen. Unabhängig davon, ob es sich um alte Gewohnheiten bei der Arbeit in traditionellen Umgebungen oder um neu entstandene Gewohnheiten handelt, die aus Bequemlichkeit in der Welt des Self-Service-Cloud-Zugriffs entstanden sind, können Entwickler versehentlich ernsthafte Sicherheitsprobleme verursachen. Beispiele beinhalten:

  1. Am wenigsten privilegierter Zugang. Entwickler starten ein Projekt oft mit vollständig offenem Zugriff, mit der Absicht, im Nachhinein zurückzugehen und Berechtigungen einzuschränken. Das Problem ist, dass sie nach Abschluss des Projekts vergessen, zurückzugehen und den Umfang zu überprüfen, und Datenbanken und Speichercontainer mit hochsensiblen Informationen weit offen lassen.
  2. Remote arbeiten. Entwickler öffnen oft Secure Shell (SSH) oder deaktivieren Firewalls, um aus der Ferne auf ein System zuzugreifen, an dem sie arbeiten, wodurch das System offen und anfällig bleibt. Ebenso können Entwickler zu Testzwecken eine Datenbank mit sensiblen Informationen abrufen, und weil sie nicht „live“ ist, denken sie, dass es sich nur um ein Entwicklungssystem handelt. Stattdessen legen sie eine inaktive Datenbank voller sensibler Kundeninformationen offen.
  3. Teilen ist (nicht immer) fürsorglich. Ein gängiges Szenario in Unternehmen ist, dass ein Entwickler einen Cloud-Dienst einrichtet und damit experimentiert und ein Kollege auch damit experimentieren möchte. Während dieser Experimente macht der zweite Entwickler sie öffentlich zugänglich, ohne zu wissen, dass der erste Entwickler sie auf eine Datenbank mit sensiblen Informationen hingewiesen hat. Jetzt hat das Unternehmen eine massive Datenpanne in der Hand.

Verheerende Auswirkungen

Das Fortbestehen des „wilden, wilden Westens“ hat verheerende Auswirkungen auf Unternehmen. Datenschutzverletzungen können zu einem Vertrauensverlust der Benutzer, einer Schädigung des Markenrufs, Klagen und Geldbußen, die gegen das Unternehmen aufgrund von Datenschutzbestimmungen erhoben werden, sowie zu sinkenden Aktienkursen und niedrigeren Einnahmen führen. Als nur ein Beispiel könnte Marriott wegen seiner Ende letzten Jahres bekannt gewordenen massiven Datenschutzverletzung eine maximale Geldstrafe von bis zu 915 Millionen US-Dollar nach der DSGVO drohen. Und das ist nur unter einer einzigen Vorschrift – wenn alles gesagt und getan ist, könnte dieser Verstoß Marriott leicht Milliarden von Dollar kosten.

Unternehmen, die immer wieder denken, dass ihnen solche Vorfälle nicht passieren könnten, leben in einer Traumwelt. Jede der oben genannten gängigen Praktiken von Entwicklern kann schnell den Albtraum schaffen, mit dem Marriott und unzählige andere Unternehmen derzeit zu tun haben.

Leitplanken einrichten

So beängstigend die möglichen Folgen eines Sicherheits- oder Compliance-Fehlers auch sind, das Abschalten des Self-Service-Zugriffs auf die Cloud ist keine Lösung. Die Cloud bietet große Vorteile für Unternehmen, die ihren Konkurrenten voraus sein (oder bleiben) wollen, und Entwickler, die schnell neue Dienste einrichten können, ist der Schlüssel. Um Entwicklern die Freiheit zu geben, innovativ zu sein, ohne auf Sicherheit und Compliance zu verzichten, sollten Unternehmen die folgenden Richtlinien festlegen (und durchsetzen!):

  1. Experimentieren Sie niemals mit Live-Daten in einem Cloud-Dienst.
  2. Verwenden Sie immer den Zugriff mit den geringsten Rechten und grenzen Sie ihn vom Anfang eines Projekts an ein – überspringen Sie diesen Schritt niemals mit der Absicht, später zurückzugehen und den Umfang zu bestimmen. Bis dahin könnte es zu spät sein.
  3. Daten immer verschlüsseln.
  4. Stellen Sie Cloud-Dienste niemals, auch nicht vorübergehend, zu Testzwecken bereit.
  5. Verwenden Sie niemals einen unvollendeten Cloud-Dienst wieder. Sie wissen nicht, auf welche Datenbanken es verweisen kann, und es ist das Risiko einfach nicht wert.
  6. Nutzen Sie erweiterte Identitäts- und Zugriffsverwaltungskontrollen als neuen Perimeter. In der heutigen Welt ist die einzige Barriere zwischen einem Benutzer und dem Zugriff auf Anwendungen oder sensible Daten die Identität dieses Benutzers. Daher sind fortschrittliche IAM-Lösungen unerlässlich.
  7. Nutzen Sie geeignete native Cloud-Sicherheitstools (z. B. CloudWatch, AWS CloudTrail, Shield, Amazon Inspector, AWS Macie usw.). Viele dieser Tools sind sehr effektiv und einfach zu implementieren – ein Kinderspiel, wenn es darum geht, zusätzliche Sicherheitsebenen hinzuzufügen.
  8. Richten Sie einen Q&A-Prozess für Entwickler ein, um sicherzustellen, dass die richtigen Schritte unternommen wurden (dh ist der Dienst fehlerfrei? Wurde er über Macie und Inspector ausgeführt?). Dieses Dokument mit Fragen und Antworten (oder Checkliste) sieht für jedes Unternehmen anders aus, soll jedoch sicherstellen, dass Entwickler alle angemessenen Sicherheits- und Compliance-Überlegungen befolgt haben.
  9. Setzen Sie die oben genannten Best Practices mit einer automatisierten Cloud-Sicherheits- und Compliance-Lösung durch. Selbst mit den besten Absichten könnten Entwickler noch einen kritischen Schritt verpassen. Automatisierte Cloud-Sicherheits- und Compliance-Lösungen können eine Fehlkonfiguration oder einen Richtlinienverstoß in Echtzeit erkennen und den Entwickler entweder auf das Problem hinweisen, das behoben werden muss, oder automatisch die erforderlichen Korrekturmaßnahmen ergreifen.

Die Welt hat sich von „Befehl und Kontrolle“ zu „Vertrauen, aber Überprüfung“ bewegt. Unternehmen können ihren Entwicklern nicht zu viele Hindernisse in den Weg legen, sonst werden sie frustriert und umgehen alle Sicherheits- und Compliance-Überlegungen. Entwickler müssen darin geschult werden, was sie tun können und was nicht, um ihr Unternehmen vor Datenschutzverletzungen zu schützen, und benötigen ein System, um zu überprüfen, ob sie die entsprechenden Protokolle und Richtlinien einhalten. Menschliches Versagen bedeutet, dass unweigerlich jedes Unternehmen in eine Situation kommt, in der ein Fehler gemacht wird und Daten angreifbar bleiben. Ob ein Unternehmen den Fehler selbst findet und behebt oder es einem Hacker überlässt, ihn zu finden und auszunutzen, kann den Unterschied zwischen Erfolg und Misserfolg eines Unternehmens ausmachen.

Bildnachweis: Wavebreakmedia/Depositphotos.com

Chris DeRamus ist CTO und Mitbegründer, DivvyCloud. Er leitet das Technologieteam und die Produktentwicklung von DivvyCloud und widmet sich der Entwicklung der robustesten, skalierbarsten und qualitativ hochwertigsten Software, die möglich ist, um die anspruchsvollen Anforderungen unserer Kunden zu erfüllen.



Vorheriger ArtikelSamsung bringt Chromebook 4 und 4+ auf den Markt
Nächster ArtikelApple stellt Apple TV+ mit all seinen Originalinhalten vor

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein