Umfrage zur Cloud Security: Automatisierung und Vereinfachung sind in

Umfrage zur Cloud Security von ESG: Automatisierung und Vereinfachung sind in

Lacework-Editorial

June 2, 2021

Umfrage zur Cloud Security von ESG: Point-Produkte sind out, Automation und Plattform-Konsolidierung sind in.

Quelle: ESG, eine Abteilung von TechTarget, führt eine Umfrage zu Trends im Bereich der Cloud-nativen Security durch, Januar 2021

To secure applications in the cloud, the underlying infrastructure and orchestration layers like Kubernetes, digital businesses must confront new security challenges from both an architectural and organizational standpoint. New threat models must be addressed, while the roles of security and DevOps teams converge (known affectionately as DevSecOps), leading to what we like to call the “Shared Irresponsibility Model.” The old legacy approach to securing monoliths, from the technology to the security teams, simply does not work for the cloud.

ESG befragte kürzlich 383 Experten im Bereich IT und Cybersicherheit in den USA und Kanada, um herauszufinden, wie sich die Verlagerung in die Cloud weiterhin auf die Security in cloud-basierten Unternehmen auswirkt. Die Ergebnisse sind eindeutig: Die dynamische Natur von Cloud- und Container-Umgebungen führt verbreitet zu blinden Flecken und macht die Sicherung von Cloud-Umgebungen besonders anspruchsvoll. Außerdem ziehen die Lücken bei der Ausgereiftheit des DevSecOps-Programms Inkonsistenzen, Fehlkonfigurationen und einen Mangel an kritischer Transparenz nach sich.

Satte 88 % aller Befragten glauben, dass ihr Cybersicherheitsprogramm weiterentwickelt werden muss, um ihre Cloud-nativen und Public-Cloud-Workloads zu schützen.

Sie brauchen einen konsistenten Weg, um Umgebungen zu sichern, und Point-Produkte liefern hier nicht. Kunden, die eine moderne Infrastruktur nutzen, benötigen eine gut integrierte, konsolidierte Cloud-Security-Plattform und müssen sich mit der Nutzung von DevSecOps anfreunden, da sich die Security komplett in die Produktteams verlagert hat.

Wichtige Erkenntnisse aus der Umfrage zur Cloud Security

Die Umfrage konnte Folgendes besonders deutlich machen:

Point-Produkte sind mühsam und teuer.

Die Verwendung mehrerer Point-Produkte bringt hohe Kosten und Komplexität mit sich und führt dazu, dass keine zentralisierten Richtlinien implementiert werden können. Security kann nicht in Silos funktionieren, da sie Teams, Workloads, Richtlinien und Tools umfasst. Kunden benötigen eine einheitliche, integrierte, konsolidierte Security-Plattform.

Abbildung 1 – Umfrage zur Sicherung von modernen Cloud-Apps und Infrastruktur
Abbildung 1: Die fünf größten Herausforderungen der Cloud Security 

74 % berichten von blinden Flecken, die die Security-Überwachung zu einer Herausforderung machen

Wenn Sie etwas nicht sehen können und es nicht verstehen, können Sie es auch nicht beheben. Ohne Zugang zum physischen Netzwerk und angesichts der dynamischen Natur von Cloud-nativen Anwendungen und elastischer Infrastruktur ist der Mangel an Transparenz bei der Cloud Security deutlich zu spüren.

Anyone writing code has a critical role to play in the security posture of their workloads, and this makes misconfigurations easy to make and difficult to find. Effective cloud security posture monitoring can detect anomalies indicative of account takeovers resulting from Issues such as privileged cloud credentials, especially user credentials with administrative access to cloud, orchestration and service accounts.


Abbildung 2: Schlüssel zur Verbesserung der Security-Transparenz für Cloud-native Apps

Die am häufigsten gemeldeten Arten von Cloud-Fehlkonfigurationen kommen durch einfache menschliche Fehler zustande, wie z. B. mangelhafte IAM-Grundlagen wie die Verwendung von Standard-Passwörtern oder eine fehlende Multi-Faktor-Authentifizierung. Weitere Bedrohungen sind nach außen gerichtete Workloads, die Port-Scans unterliegen, zu freizügige Konten, die von bösen Akteuren ins Visier genommen werden, und nicht autorisierter Zugriff auf Services. Diese Fehlkonfigurationen nehmen ein böses Ende und führen zu Datengefährdungen und zur Einschleusung von Malware, einschließlich Cryptomining-Programmen und Ransomware.

Additionally, the impact to SLAs indicates a need to automate updating infrastructure-as-code (IaC) templates via cloud security posture management (CSPM) controls.


Abbildung 3: Cloud-native Daten zu Security-Vorfällen

41 % geben an, dass die Automatisierung der Einführung von Kontrollen und Prozessen über eine Integration mit dem Lebenszyklus der Softwareentwicklung und CI/CD-Tools höchste Priorität hat.

Cloud-Innovatoren stellen ihre Workloads zunehmend mit Infrastructure as Code (IaC) bereit, wie z. B. Terraform und Cloudformation, und sie suchen auch nach Möglichkeiten, neben den CI/CD-Workflows ihrer Entwicklungsteams auch die Bereitstellung ihrer Security-Tools nahtlos zu automatisieren.


Abbildung 4: Der Zwang zur Automatisierung treibt die Integration von Security in DevOps voran

Mehr als die Hälfte der Befragten gab an, dass ihre Unternehmen in den nächsten 12 bis 24 Monaten auf eine integrierte Plattform umsteigen möchten.

Der Umstieg zu einer integrierten Cloud-nativen Security-Plattform läuft.

Cloud-basierte Unternehmen benötigen eine zentralisierte Kontrolle über die unzähligen Services, Workloads, Konfigurationen, APIs und Infrastrukturen, die ihr Geschäft unterstützen. Integrierte Plattformen ermöglichen einen zentralisierten Ansatz zur Absicherung heterogener Cloud-nativer Anwendungen, die in verteilten Clouds, Clustern und Teams eingesetzt werden. Eine einzige integrierte Quelle für Security-Daten sorgt für Konsistenz zwischen Entwicklungs- und Security-Teams für die Überwachung und Sicherung von Anwendungen und Infrastruktur.

 

Bevorzugte Security-Kontrollen zum Schutz von Cloud-nativen Anwendungen und Infrastruktur
Abbildung 5: Bevorzugte Security-Kontrollen zum Schutz von Cloud-nativen Anwendungen und Infrastruktur

DIE GUTEN NACHRICHTEN!

Mit der Ausweitung der DevSecOps-Anwendungsfälle über den gesamten Lebenszyklus hinweg können immer mehr Cloud-native Anwendungen geschützt werden. Manchmal werden die Dinge schwieriger, bevor sie einfacher werden, aber die Wahrheit ist, dass die Sicherung der Cloud das Potenzial hat, weitaus skalierbarer, automatisierter, intelligenter und umfassender zu sein als je zuvor.

Sichere Best Practices für DevOps werden endlich über den gesamten Anwendungslebenszyklus hinweg implementiert – von der Entwicklungsphase bis hin zum Aufbau und der Integration in die Bereitstellung und Produktion. Dies führt zu einer Zunahme dieser Cloud-nativen Anwendungen, die mithilfe von DevSecOps-Praktiken geschützt werden.

Automatisierte Security-Praktiken durch Integration mit DevOps

Abbildung 6: Automatisierte Security-Praktiken durch Integration mit DevOps 

Fazit – Zusammenfassung

Zusammenfassend lässt sich sagen: Die Zukunft der Cloud Security sieht rosig aus. Die überwiegende Mehrheit der digitalen Führungskräfte in der Cloud weiß, dass es noch einiges zu tun gibt, um den vollständigen Schutz ihrer Cloud-Infrastruktur und -Workloads zu gewährleisten, aber wenn sie die in der Umfrage genannten Best Practices und Strategien beherzigen, können auch sie mit DevSecOps ihr Glück machen.

Noch mal zum Mitschreiben:

  • Point-Produkte bringen nur mehr Mühen, Kosten und Komplexität.
  • Automatisierung ist erforderlich, um die Security parallel zur Cloud zu skalieren.
  • Fehlkonfigurationen sind häufig und heimtückisch, aber mit Transparenz und Automatisierung zu bewältigen.
  • Security muss in den Entwicklungslebenszyklus eingebettet und in die CI/CD-Tools und -Workflows integriert werden.
  • Eine einheitliche Security-Plattform ist notwendig, um den Teams (DevOps und Security) eine zentrale, gemeinsame Sprache zu geben und sie zu integrieren.

Die vollständigen Umfrageergebnisse können Sie hier nachlesen.