Vorbeugen ist besser als heilen" ist ein weit verbreiteter Satz, der dem holländischen Philosophen Desiderius Erasmus vor etwa 500 Jahren zugeschrieben wird und heute zum Grundprinzip der modernen Gesundheitsversorgung geworden ist. Wir alle haben in letzter Zeit gesehen und erlebt, wie unerwartete Ereignisse immense Schäden verursachen können, und wir müssen alle unsere Ressourcen mit großem Aufwand einsetzen, um diese Schäden zu begrenzen und zu versuchen, die Infektion zu heilen. Erst später sind wir in der Lage, uns auf die zugrundeliegenden Ursachen zu konzentrieren, um zu verhindern, dass sich so etwas wiederholt.
Wir können Parallelen bei der Cloud-Sicherheit erkennen. Die massenhafte Migration in die Cloud aufgrund ihrer zahlreichen Vorteile wurde durch die neuen Arbeitsbedingungen und die Notwendigkeit, nach den oben erwähnten Ereignissen von unterwegs und/oder von zu Hause aus zu arbeiten, noch beschleunigt. Die Sicherheit wurde jedoch in der Eile oft übersehen, was zu Fehlkonfigurationen und Schwachstellen führte, die durch immer ausgefeiltere Sicherheitsbedrohungen aufgedeckt werden können. Da die durchschnittlichen Kosten eines Sicherheitsverstoßes in die Millionen gehen, haben sich viele Unternehmen Cloud-Sicherheitsplattformen zugewandt, die den Einblick und die Transparenz bieten, um ihre Cloud-Infrastruktur zu schützen und Schaden zu verhindern, bevor er entsteht.
Aber jetzt müssen wir bei der Cloud-Sicherheit einen Schritt zurückgehen, oder besser gesagt, nach links gehen.
Infrastructure as Code (IaC) wird von den meisten Unternehmen eingesetzt, um ihre Infrastrukturen in der Cloud einfach zu verwalten und bereitzustellen und ihren Bereitstellungsprozess zu automatisieren. Da es sich um eine neue Technologie handelt, entwickelt sie sich schnell weiter, und das Tempo, in dem sie von den Unternehmen angenommen wird, ist nur noch geringer - bis zu 90% der Unternehmen nutzen IaC in irgendeiner Form.
Die Leichtigkeit und Schnelligkeit, mit der die IaC-Infrastrukturen bereitgestellt werden, ist beeindruckend und einer der Hauptgründe für ihre Beliebtheit, aber sie kann auch ein zweischneidiges Schwert sein. Dieselbe Geschwindigkeit und Leichtigkeit erhöht die Möglichkeit, Fehler zu machen. Das Sprichwort "Mehr Eile, weniger Tempo" kommt einem in den Sinn, aber die Cloud ist eine sich schnell verändernde Umgebung, und mit den ständigen Veränderungen, die IaC mit sich bringt, haben Sicherheitsexperten ihre liebe Mühe.
Diese Herausforderungen bedeuten, dass IaC zahlreiche Fehler, Schwachstellen und Fehlkonfigurationen enthalten kann, die eine offene Einladung für die komplexen Sicherheitsbedrohungen von heute darstellen, die Cloud-Umgebung eines Unternehmens zu entlarven. Eine kürzlich durchgeführte Analyse von IaC-Vorlagen ergab beispielsweise, dass 200.000 Dateien unsichere Konfigurationsoptionen enthielten, 43% der Data Warehouses nicht verschlüsselt waren und bei 65% der Cloud-Speicherdienste die Protokollierung nicht aktiviert war.
Es ist nun dringend erforderlich, Fehlkonfigurationen der Infrastruktur auf der IaC-Ebene zu verhindern. Unternehmen müssen die Sicherheit nach links verschieben, um Sicherheits- und Konformitätsschwachstellen zum frühesten Zeitpunkt des Erstellungsprozesses zu finden und IaC-Vorlagen vor der Bereitstellung zu sichern.
Ihre Hauptanforderung ist die Notwendigkeit einer kontinuierlichen Sicherheitsbewertung und -überwachung, um zu verhindern, dass eine schlechte Infrastruktur überhaupt erst geschaffen wird. Sie müssen aber auch Bereiche wie die Einhaltung von Kodierungsstandards und die Bewertung und Einhaltung von Vorschriften umfassen, um nur einige zu nennen.
Im Übrigen haben die Sicherheitsadministratoren in den meisten Unternehmen mit der Anzahl der Sicherheitswarnungen zu kämpfen, die aus der Cloud generiert werden und 25.000 übersteigen. Einige dieser Warnungen stellen ein Risiko dar, während andere Best Practices für die Einhaltung von Cloud-Vorschriften sind. Wenn ein Unternehmen seinen Fußabdruck in der Cloud ausweitet - mehr Cloud-Konten, Multi-Cloud usw. - wird die Anzahl der Sicherheitswarnungen zunehmen. Eine Risikopriorisierung kann dabei helfen, Alarme mit hohem Risiko zu identifizieren, aber wer will sich wirklich mit 25.000+ offenen Alarmen oder mehr pro Tag beschäftigen?
Die beste und effektivste Lösung wäre es, die gleichen Kontrollen, die in der Live-Cloud-Infrastruktur durchgesetzt werden, auch auf IaC-Vorlagen anzuwenden. Durch diesen einen Prozess wird die Anzahl der Sicherheitswarnungen, die in eine Produktions- oder Live-Cloud-Umgebung gelangen, drastisch reduziert.
Wir könnten also argumentieren, dass die herkömmlichen Sicherheitstools und -prozesse nicht in der Lage sind, die komplexe Aufgabe im IaC-Bereich zu bewältigen. Um IaC erfolgreich zu sichern, müssen Sicherheitstools informieren, anleiten und vereinfachen. Jede Lösung sollte die Ursache von Problemen untersuchen und den Entwicklern Empfehlungen geben, wie sie ihre IaC-Schwachstellen beheben können, ohne sie bei ihrer Arbeit zu behindern, sondern als Leitplanke dienen, die jedes Sicherheitsteam braucht.
Mit einer effektiven IaC-Sicherheitslösung, die diese Grundsätze befolgt, die Sicherheits- und Compliance-Probleme frühzeitig im Erstellungsprozess erkennen und die Schaffung einer fehlerhaften Infrastruktur verhindern kann, sollte Ihre Cloud-Infrastruktur bei der Bereitstellung kampffähig sein und nicht in den Kinderschuhen wieder auf Vordermann gebracht werden müssen.