Branche, Gastbeiträge - geschrieben von cp am Donnerstag, August 27, 2020 9:37 - noch keine Kommentare
Serverless Computing kann sicher sein
Viele sehen nur die Herausforderungen, die eine serverlose Architektur für die IT-Sicherheit mit sich bringt. Tatsächlich bringt das Konzept aber viele Vorteile im Bereich IT-Sicherheit mit sich und ermöglicht innovative Ansätze. Es gibt zwar neue Risiken, doch Automatisierung und eine Anpassung der Sicherheitsstrategie machen die Umstellung zu Serverless Computing wesentlich einfacher, als oft gedacht.
Von unserer Gastautorin Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH
[datensicherheit.de, 26.08.2020] Serverlose Architekturen benötigen einige Vorbereitungen, um reibungslos eingeführt zu werden, und erfordern genaue Überlegungen darüber, was sich verändern wird. Wenn es keine Server, aber eine automatische Skalierung gibt, wird es schwierig für die IT-Abteilungen sein, einzuschätzen, an welchen Stellen Sicherheitslösungen für Cloud und Anwendungen eingesetzt werden sollen. Die alte Auffassung vom festen Firmen-Perimeter und Rechenzentrum als Grenzen, fällt weg. Außerdem werden durch Serverless Computing neue Ansätze der IT-Sicherheit ermöglicht, die bisher kaum oder gar nicht zu implementieren waren. Die Nano-Service-Architektur, der die meisten serverlosen Anwendungen folgen, erlaubt eine viel strengere Anwendung von Sicherheitsrichtlinien im Netzwerk. Zudem liefert die sichtbare Orchestrierung von Ressourcen auf der Cloud-Fabric eine Fülle von Informationen, die sich Sicherheitslösungen zum Schutz von Anwendungen zunutze machen können. Neue Technologie birgt aber bei mangelnder Sorgfalt in der Konzeption und Umsetzung ebenso viel Risiko wie Vorteil in sich und muss daher bedacht eingeführt werden.
Vier Gründe sollen daher verdeutlichen, warum der Einsatz von serverlosen Architekturen, wie Amazon Web Services Lambda (AWS Lambda), Microsoft Azure (MS Azure) und Google Cloud Plattform (GCP) sich lohnt und die Sicherheit verbessert.
Mehr Sicherheit
Trotz der Namensgebung gibt es weiterhin Server, Betriebssysteme und Laufzeiten von Funktionen oder Containern. Der Unterschied ist, dass diese nicht mehr aufwendig verwaltet werden müssen oder ständig der Sicherheit im Blick stehen sollte. Die freigewordene Zeit können die Fachkräfte dann nutzen, um sich auf wichtige Projekte zu konzentrieren, anstatt die ständigen Aktualisierungen und Patches manuell einspielen zu müssen.
Wechsel zu Zero-Trust-Netzwerken
Statt der bekannten Perimeter-Sicherheit, worin das Firmennetzwerk die Grenze zum Internet bildet, kommt das Zero-Trust-Modell zum Einsatz – und es ist das bessere Konzept. Der Perimeter war nie so hermetisch, wie viele glaubten. Daher wird der Wechsel zu Zero-Trust die Sicherheit zweifelsfrei erhöhen und durch die festen Beschränkungen der Zugriffrechte und dazu paßenden Segmentierungen den Schaden im Falle eines erfolgreichen Angriffs limitieren.
Feingranulare Anpassungen
Serverlose Architekturen erlauben viel feinere Konfigurationen innerhalb der IT-Sicherheit, denn sie schrauben die Anzahl von Funktionen deutlich in die Höhe. Hunderte von Funktionen aber bedeutet hunderte von Rollen mit einem Identity and Access Management (IAM) festlegen zu können. Die Mehrheit aller Organisationen nutzen dies noch nicht als Vorteil, doch es ist einer, denn mit Hilfe der passenden Werkzeuge und Prozesse können die Fachleute um jede Funktion herum sogenannte ‚Shrink Wrapped Permissions‘ bauen. Diese sorgen dafür, dass die Funktion nur auf die Ressourcen und Dienste zugreifen kann, die ihr erlaubt werden. Es handelt sich dabei also um eine logische Weiterentwicklung des Zero-Trust-Ansatzes. Werden diese Sicherheitsvorkehrungen hinsichtlich der Zugriffbeschränkung richtig eingestellt, verhindert das die Mehrheit der Cyber-Angriffe gegen Anwendung automatisch.
Kurzlebige Funktionen
Die Art und Weise, wie Funktionen in einer Serverlosen Architektur aufgebaut sind, hilft bereits dabei, die IT-Absicherung zu verschärfen. Eine hohe Anzahl von Funktionen heißt, daß ihre Wirkung sehr begrenzt ist, weil jeder Funktion nur kleine Aktionen zugestanden werden – anders als in bestehenden Konzepten, wo Funktionen oft große Container mit umfassenden Vollmachten und Zugriffsrechten sind. Außerdem existieren kleine Funktionen nur sehr kurz bevor sie neu geladen werden. Sie können daher auch nur sehr kurz von Angreifern missbraucht werden, bevor sie verschwinden. Wenn die Verantwortlichen des Unternehmens also diese Lebensspanne so kurz wie möglich einstellen, werden viele Angriffe fast unmöglich gemacht.
Nichts ist perfekt
Es liegt auf der Hand, dass es ein Risiko gibt, wenn man Neuland betritt. Doch dürfen die Bedenken nicht alleine im Raum stehen, sonst gehen die Vorteile unter und zählen nichts mehr. Serverless Computing ist ein neues Konzept, dass sehr viele Vorteile mit sich bringen kann, wenn es korrekt umgesetzt wird. Wer als Unternehmen diesen reibungslosen, weil wohl überlegten, Umstieg vollzieht, wird darum bald feststellen, dass die Anwendungen, die beispielsweise mit AWS Lambda, einem API Gateway und DynamoDb neu konzipiert wurden, die sichersten Anwendungen innerhalb der Organisationen werden können.
Weitere Informationen zum Thema:
datensicherheit.de, 02.07.2020
Schwerwiegende Lücken entdeckt: RDP-Gateway von Apache Guacamole angreifbar
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren