Zero Trust und DevOps, zwei Paradigmenwechsel die auch Ihre Cybersicherheit grundlegend verändern werden. Wie sehr sich diese beiden Ansätze ergänzen und welche Vorteile Sie daraus ziehen können, zeigen wir Ihnen in diesem Blogbeitrag.

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf den Alltag aus. Der sichtbarste Effekt ist die Weiterentwicklung von Endgeräten – vom klassischen Unternehmens-Desktop-Computer, über Unternehmens-Notebooks, bis hin zu BYOD und Tablets.
Parallel dazu beobachten wir eine Weiterentwicklung der auf diesen Geräten installierten Anwendungen. Im Zeitalter des Desktop-Computers waren Client-Server-Architekturen die Norm. Mit dem Aufkommen von Browsertechnologien verschwand der Grossteil der Geschäftsfunktionen vom Endgerät (Client) und wurden durch Webportale ersetzt. Heutzutage wird ein Teil der Logik in Form von mobilen Apps und browserbasierten Einzelseitenanwendungen zurück auf den Client verlagert. Diese Apps werden über App Stores einfach verteilt und verkauft. Der Server heisst nicht länger Portal, sondern Ressource und REST ist das bevorzugte Protokoll, um mit diesen Ressourcen zu interagieren.
Gleichzeitig haben sich auch die Betriebsmodelle verändert. Heute werden Rechenressourcen auch als Service genutzt und Unternehmen verlagern ihre IT-Dienste teilweise oder vollständig in die Cloud. Dies beinhaltet einen gewissen Verlust der Kontrolle über die Infrastruktur und ihre Pflege, da die betriebliche Kontrolle an den Anbieter der Cloud-Infrastruktur delegiert wird. All dies führt dazu, dass neue Risiken und Bedrohungen für Unternehmen entstehen, «Vertrauen» neu definiert und die Cybersicherheit überdenkt werden müssen.

Zero Trust – wem kann man noch trauen?

Zunächst galt das klassische «Castle and Moat»-Konzept als ausreichend, um den Perimeter des internen Netzwerks zu schützen und alles und jeden im internen Netzwerk als «vertrauenswürdig» zu akzeptieren. Die heute bewährte Sicherheitspraxis empfiehlt eine Architektur, welche die Zugriffskontrolle vom Perimeter in Richtung der Dienste verschiebt. Das heisst die Zugriffskontrolle erfolgt durch die Applikation selbst oder eine Sicherheitskomponente, welche unmittelbar davorsteht. Hier stellt sich die Frage, welche Sicherheitstools am besten geeignet sind, um den Wechsel zu einer Zero Trust-Architektur zu bewerkstelligen. Zero Trust ist ein recht modernes Konzept und ein Ansatz der Cybersicherheit von Grund auf ändert. Anstatt zu versuchen, eine interne und sichere Vertrauenszone vor böswilligen Angreifern von aussen zu schützen, schreibt Zero Trust vor, dass jede einzelne Anfrage als nicht vertrauenswürdig gilt, bis das Gegenteil bewiesen ist. Was darunter genau zu verstehen ist und weshalb der Wechsel zu einer Zero Trust-Architektur nicht über Nacht geschieht, wurde bereits in einem früheren Blogbeitrag von Infoguard geschildert.

DevOps – Schneller auf Kundenanforderungen reagieren…

In der zunehmend digitalen und software-basierten Welt hängt der Erfolg eines Unternehmens auch davon ab, wie schnell (und sicher) Dienste entwickelt und bereitgestellt werden können. Hierzu kann DevOps ein Wegbereiter sein. DevOps ist nebst «Zero Trust» ein zweiter Paradigmenwechsel. Er fordert Unternehmensstrukturen mit separaten Verantwortlichkeiten für Netzwerke, Speicher, Betriebssysteme und Anwendungen heraus. Dieser Wechsel wird durch die Verlagerung in die Cloud beschleunigt, weil der gesamte Infrastrukturbetrieb ausgelagert wird. Cloud-Anbieter stellen weitere Dienste für die Integration in Anwendungen und Tools bereits, um die Entwicklung und automatische Installation von Anwendungen zu ermöglichen. Im Wesentlichen ermöglicht der Cloud-Anbieter den Wechsel zu DevOps, indem er Dienste für Entwickler und DevOps bereitstellt, auf denen diese aufbauen können, um in der Lage zu sein, sich voll und ganz auf die Implementierung der Geschäftsfunktionen zu konzentrieren.

DevOps steht aber auch symbolisch für eine neue Kultur von zusammenarbeitenden Abteilungen, die historisch eher unterschiedliche Ziele verfolgten: Die Softwareentwicklung muss agil, kreativ und am Puls der technologischen Entwicklung sein, um ständig neue Features liefern zu können. Im Gegensatz dazu ist der IT-Betrieb auf Stabilität, Sicherheit und Verlässlichkeit ausgerichtet. DevOps versucht nun genau diesen scheinbaren Widerspruch zwischen Agilität und Stabilität zu vereinen. Als logische Weiterentwicklung der agilen Softwareentwicklung soll durch DevOps die gesamte Wertschöpfungskette interdisziplinär einbezogen werden und bestehendes Silo-Denken aufgebrochen werden. um schlussendlich bessere und zuverlässigere Lösungen für die Kunden zu liefern.

Praktische Umsetzung von Zero-Trust und DevOps

Die Tage für die reine Perimetersicherheit sind vorbei. Zero Trust und DevOps erfordern Veränderungen im Unternehmen sowie neue Tools wie Microgateways zur Implementierung. Auch erfordert es viel Aufwand, bis ein grosses Unternehmensnetzwerk migriert ist. Die bestehenden Lösungen für die Perimetersicherheit werden nicht ersetzt. Ihre Funktion wird lediglich von einer Alltagsrolle auf eine strategische Position im gesamten Verteidigungssystem aufgewertet. Die Vorteile, die ein Unternehmen mit einer Zero Trust-Architektur sowohl technisch als auch betrieblich gewinnt, sind enorm. Deshalb ist jetzt der Zeitpunkt gekommen, um das erste Projekt zu beginnen und den ersten Schritt in Richtung Zero Trust zu gehen. In unserem Whitepaper finden Sie bestimmt wertvolle Informationen dazu – machen Sie sich auf die Reise «Zero Trust».

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

In diesem Whitepaper werden wir die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen auf die moderne Informationstechnologie im Allgemeinen und auf die Informationssicherheit im Besonderen behandeln.

Whitepaper Zero Trust anfordern

Sie sehen: Das Verfolgen der Zero-Trust- und DevSecOps-Paradigmen bringt zahlreiche Vorteile. Ein glücklicher CISO und ein agiler Deployment-Prozess, der wiederum zu einer kürzeren Time-to-Market von Innovationen führt. Aber all das in der Praxis umzusetzen, ist nicht trivial, selbst wenn man nur eine einzige Umgebung hat. Wie es Ihnen trotzdem gelingt, wollen wir Ihnen in der kommenden Woche mit praktischen Beispielen aufzeigen.

Dies ist ein Gastbeitrag von Infoguard.

Zum Original-Post

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper Agile Sicherheit

Lesen Sie in unserem Whitepaper, das wir mit unserem Gold Partner Knowledge Lab AG erstellt haben, wie Sie agile Security so dynamisch wie Ihr Unternehmen selbst gestalten können. Erfahren Sie, wie die V-Bank AG den Weg in eine agile und sichere Welt geschafft hat

Jetzt Formular ausfüllen und Whitepaper erhalten!

Studie Application- und API-Security 2022

Ergon Airlock hat sich in einer aktuellen Studie in Zusammenarbeit mit CIO, CSO und COMPUTERWOCHE mit der Application und API-Security im Container Umfeld auseinander gesetzt.

Studie anfordern

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern