Applikationen in komplexen Cloud-Umgebungen absichern

Neue Gefahren automatisch erkennen

Wichtig ist es hierbei, die hohe Dynamik Cloud-nativer Technologien zu berücksichtigen. Herkömmliche Schwachstellen-Scanner zeigen nur eine statische Ansicht zu einem bestimmten Zeitpunkt. Moderne Lösungen ermöglichen dagegen Einsichten in die Laufzeit von Plattformen wie Kubernetes oder Container.

Unternehmen benötigen eine vollständige Observability über alles, was von der Vorproduktion bis zur Produktion läuft. Application-Security-Lösungen müssen diese Einblicke bis hin zu einzelnen Transaktionen mit detaillierten Informationen auf Basis des Quellcodes bieten.

Damit dies ohne großen Aufwand geschieht, sollten sie einige wichtige Eigenschaften besitzen wie zum Beispiel eine kontinuierliche, automatische Schwachstellenerkennung mit umfassender Laufzeittransparenz. Selbst wenn Teams Security-Tests nicht durchführen, erkennt eine aktuelle Lösung so, was gerade läuft und zeigt Schwachstellen in Echtzeit an. Detaillierte Einsichten in Open-Source, proprietäre Software und Container tragen dazu bei, dass auch selbstentwickelter Code, Open-Source-Bibliotheken sowie Transaktionen über Anwendungen von Drittanbietern, auf deren Quellcode kein Zugriff besteht, sich überprüfen lassen. Ebenfalls sollte eine vollständige Abdeckung von Rollbacks und älteren Releases möglich sein, um sogar Sicherheitslücken zu erkennen, die versehentlich in Rollbacks wieder eingeführt werden oder in veralteten Komponenten existieren.

Risiken richtig einschätzen

Die Identifizierung von Sicherheitslücken ist jedoch nur ein Schritt. Der zweite besteht darin, die richtigen Prioritäten zu setzen. Dazu ist eine Risikoeinschätzung nötig. Das einfache Ablesen der CVSS (Common Vulnerability Scoring System)-Bewertung reicht dazu nicht aus. So stellt eine Schwachstelle zum Beispiel nur dann ein echtes Problem dar, wenn die betreffende Bibliothek oder Software auch aktiv genutzt wird.

Entsprechend sollte eine Application-Security-Lösung neben dem CVSS-Wert der gefundenen Schwachstelle auch wichtige Informationen über die zugehörige Anwendung berücksichtigen: Wer nutzt sie? Mit welchen Datenbanken ist sie verbunden? Mit welchen anderen Services kommuniziert sie? Ist sie über das öffentliche Internet erreichbar? Wie hoch ist der Datenverkehr? Nur auf Basis dieser Echtzeit-Informationen lässt sich die Bedeutung einer Schwachstelle für das Unternehmen exakt einschätzen. Moderne Lösungen erledigen dies vollständig automatisch.

Das bedeutet: Sie filtern aus mehreren hundert oder tausend offenen Schwachstellen diejenigen heraus, die das Security-Team wirklich sofort untersuchen und beheben sollte. Dazu analysieren sie kontinuierlich die Datenzugriffspfade und die Produktionsausführung. So zeigen die Lösungen in Echtzeit automatisch eine zuverlässige Bewertung von möglichen Risiken und Auswirkungen. Damit beschäftigen sich Security-Teams nur noch mit den größten Gefahren und nicht mehr mit Fehlalarmen.

Digitale Services sicher bereitstellen

Der dritte Schritt nach der Erkennung und Priorisierung von Schwachstellen besteht in der effektiven Behebung. Bislang muss das Security-Team bei jeder neuen Sicherheitslücke erst konkrete Aufgaben für die Entwicklungsabteilung formulieren, ein Ticket erstellen und manuell prüfen, ob die Schwachstelle im nächsten Build auch wirklich vollständig behoben ist.

Im Rahmen von DevSecOps-Prozessen benötigen Teams jedoch einen deutlich schnelleren und effizienteren Ablauf. Dafür stellen moderne Application-Security-Lösungen ein automatisches Schwachstellenmanagement bereit. Dies reicht von der Erkennung bis zur Behebung. Eine intelligente Observability-Plattform ermöglicht dabei eine reibungslose Zusammenarbeit zwischen Business-, Entwicklungs-, Betriebs- und Sicherheitsteams anhand einheitlicher Daten.

Die Informationen werden für die Teams aber aus verschiedenen Perspektiven dargestellt. So sieht das Business-Team die möglichen Auswirkungen von Sicherheitslücken auf wichtige Geschäftsprozesse. Entwickler bekommen Informationen zur Problemursache bis auf Code-Ebene und Sicherheitsexperten die Möglichkeit für forensische Analysen.

Zudem unterstützt eine moderne Application-Security-Lösung übergreifende BizDevSecOps-Prozesse wie Continuous Delivery und „Shifting Left“. Dadurch können Teams die Automatisierung von der Entwicklung bis zur Produktion vorantreiben sowie mögliche Probleme früher erkennen und beheben.

Fazit

Durch Cloud-native Plattformen und DevOps-Prozesse steigen die Herausforderungen im Bereich Sicherheit. Um diese zu meistern, benötigen Unternehmen KI-basierte Lösungen für Continuous Observability und Runtime Application Self-Protection. Damit können BizDevSecOps-Teams sowohl in Produktions- als auch in Vorproduktionsumgebungen Schwachstellen effektiv erkennen und proaktiv beheben.