Radware über das falsche Verständnis der geteilten Verantwortung
Cloud-Sicherheit: Vertrauen ist gut, agieren ist besser
Falsches Vertrauen in die Sicherheitsmaßnahmen von Cloud-Providern kann kritische Anwendungen und vertrauliche Daten exponieren und zu gravierenden Sicherheitslücken führen, warnt der Sicherheitsspezialist Radware. In einer globalen, von Radware beauftragten Umfrage zur Sicherheit von Web-Anwendungen unter 205 Entscheidungsträgern gaben über 70 Prozent der Befragten an, dass sie den Sicherheitsmaßnahmen ihres oder ihrer Cloud-Provider vollständig oder überwiegend vertrauen. Jeder Zehnte jedoch erwähnte, dass Missverständnisse über die Zuständigkeiten für Sicherheitsmaßnahmen zu Datenlecks geführt haben, und weitere 37 Prozent konnten dies zumindest nicht ausschließen.
Diese Sicherheitslücken entstehen laut Radware primär durch das falsche Verständnis der geteilten Verantwortlichkeiten, was sich noch verschärfen wird, wenn immer mehr Unternehmen ihren Betrieb in die Cloud verlagern. Viele Unternehmen sind nach Angabe der Sicherheitsexperten noch nicht sicher, wie ihre optimale Strategie zum Schutz ihrer Assets und Daten in der Cloud aussehen sollte. In jedem Fall sind sie aber auch in der Cloud für die Sicherheit ihrer Workloads selbst verantwortlich, da der Cloud-Anbieter sich auf den Schutz der Infrastruktur konzentriert.
Neben den traditionellen Herausforderungen rund um die Zugriffsverwaltung gewinnen Datendiebstahl und Bedrohungen durch die Datenkommunikation mit Anwendungen von Drittanbietern immer mehr an Bedeutung. Die Kommunikation mit Anwendungen von Drittanbietern erfolgt verstärkt über APIs, die zunehmend ins Visier von Angreifern geraten.
Darüber hinaus schaffen Fehlkonfigurationen und Richtlinienverstöße in Cloud-Ressourcen potenzielle Schwachstellen und Hintertüren, die zu einem Risiko der Kompromittierung führen. Dies ist vor allem auf die Richtlinien einiger Unternehmen zurückzuführen, die Standard-Sicherheitseinstellungen ihrer Cloud-Workloads nicht zu ändern. Die zunehmende Anzahl verbundener Systeme und deren Abhängigkeiten verstärken diese Cloud-Schwachstellen, so Radware.
Die Entstehung vieler Schwachstellen lässt sich auf die Zugriffs- und Rechteverwaltung zurückführen. Unternehmen müssen ein System für Tiefeninspektion und Schwachstellen-Management als Teil ihrer DevSecOps-Pipeline für den Aufbau skalierbarer nativer Cloud-Anwendungen einplanen, so der Rat des Sicherheitsspezialisten. Ein umfassendes Schwachstellen-Management-System trage wesentlich dazu bei, dass Unternehmen ihre Angriffsfläche für Bedrohungen effektiv verwalten und minimieren können. Insbesondere innerhalb eines Systems containerbasierter Micro-Services gibt es laut Radware grundlegende Herausforderungen, die Unternehmen beachten sollten:
- Identifizierung von Schwachstellen innerhalb der Images, die Unternehmen frühzeitig finden und beheben müssen
- Notwendigkeit einer risikobasierten Priorisierung von Schwachstellen
- Minimierung von False Positives
- Identifizierung der Quelle von Sicherheitslücken
- Skalierbarkeit durch Automatisierung: Das Scannen von Tausenden von Container-Images ist ein Problem, das man nicht mehr durch manuelle Tätigkeiten lösen kann, und daher bietet die Automatisierung des gesamten Prozesses eine bessere Skalierbarkeit.
Insgesamt gehe es beim Software-Vulnerability-Management darum, einen sicheren Patch-Management-Prozess für das gesamte Unternehmen zu ermöglichen. Das Framework sollte in der Lage sein, Schwachstellen in Software von Drittanbietern zu identifizieren und Administratoren über den Schweregrad der potenziellen Bedrohung zu informieren. Dabei sollte ein automatisiertes Patch-Management-System das Beheben von Schwachstellen auf eine Weise ermöglichen, die die Prozesse und die Agilität nicht behindert.
Lesen Sie mehr zum Thema
