Niemand bestreitet die Notwendigkeit eines hohen Sicherheitsniveaus in den Unternehmen von heute. Sicherheit hat seit langem höchste Priorität und wird es auch in absehbarer Zukunft bleiben.
Aber jetzt gibt es eine neue oberste Priorität, die neben der Sicherheit stehen muss - und das ist die Geschwindigkeit.
Die neue Unternehmenspriorität: Schnelligkeit auf dem Markt
Iie Erhöhung der Entwicklungsgeschwindigkeit mag für InfoSec-Teams nicht annähernd so wichtig sein wie die Sicherheit, aber auf dem heutigen schnelllebigen, innovativen Markt ist Geschwindigkeit für den Erfolg entscheidend.
Abgesehen von dem enormen Vorteil, als Erster auf den Markt zu kommen, erwarten die Verbraucher von Technologien (egal ob es sich um B2C- oder B2B-Technologien handelt) regelmäßige, schnelle Aktualisierungen, um mit ihrem unstillbaren Appetit auf Innovationen Schritt zu halten. Und sie sind bereit, das Unternehmen zu wechseln, wenn sie nicht bekommen, was sie erwarten.
Dieses Umfeld hat einen unglaublichen Druck auf die Entwicklungsteams ausgeübt, mehr und schneller zu liefern. Nach Jahren der Umstellung auf neue Entwicklungs Methodologienwie DevOps und Continuous Integration/Continuous Delivery (CI/CD) und der Einführung neuer Technologien, um diese Anforderungen zu erfüllen, sind die Entwicklungsteams nun endlich in der Lage, die erforderliche Geschwindigkeit zu erreichen. Jetzt gibt es nur noch ein Problem: die Sicherheit.
InfoSec-Teams beziehen Stellung
Als die Entwicklungsteams die nötige Geschwindigkeit aufbrachten, um mehr und schneller zu liefern, tauchte ein Hindernis in Form der Sicherheit auf. Es gibt eine Vielzahl von Herausforderungen zwischen Entwicklern und Sicherheitsteams, aberaber ein Schmerzpunkt, der immer wieder auftaucht, ist der Kampf um die Verwaltung von Geheimnisse, wie zum Beispiel kryptografische Schlüssel und X.509-Zertifikate in DevOps-Umgebungen.
Die meisten Unternehmen verwenden heute Infrastruktur für öffentliche Schlüssel (PKI) zur Ausgabe von X.509 Zertifikate die zum Schutz sensibler Daten beitragen, Code signierenund Endnutzer sicher mit Anwendungen verbinden. Dies bedeutet, dass ein Großteil der von Entwicklungsteams erstellten Anwendungen X.509 Zertifikate in DevOps und Multi-Cloud-Betrieb zur Authentifizierung der Kommunikation.
Leider haben die meisten Ingenieurteams festgestellt, dass der Prozess zur Anforderung von X.509 Zertifikate in DevOps beim PKI- oder InfoSec-Team zu beantragen, ganz zu schweigen von den anschließenden Verwaltungsaktivitäten während des Lebenszyklus des Zertifikats, ein langsamer, manueller Prozess ist. In einer Welt, in der es auf Geschwindigkeit ankommt, funktioniert das nicht.
Um diese Verlangsamung zu vermeiden, stellen viele Ingenieurteams ihre eigenen Zertifikate über bekannte Tools wie AWS Certificate Manager, Azure Key Vault, Kubernetes und HashiCorp Tresor. These sind leistungsstarke Tools, die zur Verbesserung der Sicherheit verwendet werdenaber in vielen Fällen, werden sie in einer Weise eingesetzt, die Sicherheitsrichtlinien umgeht und Lücken in der Sichtbarkeit entstehen, so dass viele der resultierenden Zertifikate nicht nicht mit den Unternehmenssicherheitsstandards entsprechen.
InfoSec-Teams die sich auf die Verringerung von Risiken konzentrieren, richten oft Prozesse ein, um lenken Ingenieure durch mehr Kontrolleedaber langsamer manuelle Zertifikatsanforderung Pipelines. Diese Bemühungen mögen zwar der Sicherheit dienen, verlangsamen aber auch die Entwicklungsteams erheblich, die viel Arbeit in die Beschleunigung der Entwicklungsprozesse stecken. Jetzt sind die beiden Teams oft zerstritten.
Wie InfoSec-Teams die Sicherheit aufrechterhalten können, ohne die Technik in den Wahnsinn zu treiben
Trotz der bestehenden Herausforderungen gibt es Maßnahmen, die InfoSec-Teams ergreifen können, um den Anforderungen an Geschwindigkeit und Sicherheit gleichzeitig gerecht zu werden - und die Technikteams nicht länger in den Wahnsinn zu treiben.
Anstatt alles zu bremsen, was die technischen Teams getan haben, um die notwendige Geschwindigkeit zu erreichen, sollten die InfoSec-Teams mit ihren technischen Kollegen zusammenarbeiten, um eine Lösung zu finden die für beide Teams funktioniert. Zu diesem Zweck können InfoSec-Teams die folgenden Schritte unternehmen:
- Verstehen Sie die technische Perspektive: Zunächst müssen die InfoSec-Teams den vollen Umfang der aktuellen Situation verstehen. Dazu gehört die Erkenntnis, dass Entwicklungsteams schnell vorankommen müssen und dass es vielen nicht so wichtig ist, woher die Zertifikate stammen und welche Richtlinien sie einhalten, solange sie über das verfügen, was sie brauchen, um schnell voranzukommen. Mit anderen Worten: Entwicklungsteams versuchen nicht absichtlich, Sicherheitsrichtlinien zu umgehen, indem sie ihre eigenen Zertifikate ausstellen, sondern sie versuchen einfach, eine bestimmte Entwicklungsgeschwindigkeit beizubehalten.
- Identifizieren Sie die von der Technik verwendeten Tools und Prozesse: Als Nächstes sollten die InfoSec-Teams genau ermitteln, wie ihre technischen Teams die X.509 Zertifikate ausstellen in DevOps ausstellen (vorausgesetzt, sie tun dies eigenständig). Dieser Schritt sollte Aufschluss über die Tools und Prozesse geben, in die sich die Sicherheitsprotokolle einfügen müssen, um nicht alles zu stören, was das Entwicklungsteam aufgebaut hat.
- Einführung von Back-End-Kontrollen in bestehende Selbstbedienungsprozesse: Der beste Weg für InfoSec-Teams besteht darin, sich in bestehende technische Architekturen einzufügen. Dazu muss eine PKI-Lösung eingeführt werden, die die für die Sicherheit und Sichtbarkeit erforderlichen Back-End-Kontrollen bietet und sich gleichzeitig in die Engineering-Tools und -Prozesse am Front-End einfügt. Idealerweise sollte dieser Ansatz es den Ingenieuren ermöglichen, ihre Arbeit wie gewohnt fortzusetzen und ihre eigenen Zertifikate bei Bedarf auszustellen, während die InfoSec-Teams über ein hohes Maß an Kontrolle im Back-End verfügen, das vorschreibt, woher diese Zertifikate stammen und das eine zentrale Sichtbarkeit aller ausgestellten Zertifikate bietet.
- Automatisieren Sie die Zertifikatsverwaltung und vermeiden Sie Ausfälle und Ausfällen und Verlangsamungen: Schließlich sollten InfoSec-Teams dieselbe PKI-Lösung verwenden, um die Zertifikatsverwaltung zu automatisieren. Mit dieser Automatisierung können InfoSec-Teams Hunderttausende von X.509 Zertifikaten in DevOps effizienter zu verwalten, um mit dem erhöhten Volumen und der Geschwindigkeit, mit der sie ausgestellt werden, besser Schritt zu halten. Damit wird sichergestellt, dass InfoSec-Teams auch in Zukunft Lebenszyklus von Zertifikaten vermeiden und bei Bedarf neue Zertifikate ausstellen, um Ausfälle zu vermeiden.
Geschwindigkeit und Sicherheit können koexistieren, und InfoSec-Teams sollten den Weg weisen
Obwohl Geschwindigkeit und Sicherheit in der heutigen Geschäftswelt scheinbar im Widerspruch zueinander stehen, sind beide für den Erfolg unerlässlich. Zum Glück, InfoSec- und Technik-Teams nicht länger müssen um eine Priorität gegenüber der anderen kämpfen, da es jetzt Lösungen gibt, die beide Anforderungen erfüllen können.
Der Weg in die Zukunft liegt in der Einführung von Back-End-Kontrollen für Engineering-Tools und -Prozesse zusammen mit automatisierten Ausstellung von X.509-Zertifikaten in DevOps Prozessen. Auf diese Weise erhalten InfoSec-Teams die nötige Übersicht und Transparenz, um die Sicherheit aufrechtzuerhalten, ohne die Architektur zu stören, die die Entwicklungsteams aufgebaut haben, um die Geschwindigkeit der Entwicklung zu erhöhen.
Entscheidend ist, dass die InfoSec-Teams den Weg vorgeben, indem sie mit ihren technischen Teams zusammenarbeiten, um diese Gespräche zu führen und die erforderlichen Lösungen einzuführen.
Möchten Sie mehr darüber erfahren, was es braucht? Klicken Sie hier, um das eBook herunterzuladen Sicherheit in der Geschwindigkeit von DevOps: Wie Sicherheit und DevOps zusammenarbeiten können, um Risiken zu mindern