CLOUD SECURITY & DER HEILIGE GRAL - TEIL 3: CLOUD SECURITY - Accenture
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CLOUD SECURITY &
DER HEILIGE GRAL –
TEIL 3: CLOUD
SECURITY
VIDEO TRANSCRIPT
Franck Youssef (FY): Und noch mal herzlich Ja, wir freuen uns, ich kann ansonsten nur an Franck
willkommen zum Cloud Security und der heilige Gral. und die Kollegen übergeben. Wird, glaube ich, eine
Dieser zweite Teil, es ist der zweite Teil unserer spannende Session, und lassen uns das bitte so
Webinar-Reihe und wir werden uns heute auf das interaktiv wie möglich gestalten.
Thema Cloud Security fokussieren. Ähm, nochmal ein
FY: Vielen Dank, vielen Dank, Niko und mit uns
paar Housekeeping-Informationen … wie im ersten
heute wir haben unterschiedliche Kollegen aus
Teil auch, diese Session wird aufgezeichnet, das
unserer Cloud Security-Truppe, aus
heißt, das Replay wird auf accenture.com
unterschiedlichen Fachbereiche. Ja, Markus
veröffentlicht und sowie auch in den Social Media.
Tomanek kümmert sich um die Themen Cloud
Das heißt, wenn Sie nicht aufgezeichnet werden
Security-Strategie sowie auch Governance,
möchten, bitte Ihre Mikrofone nicht anschalten und
Operating Model und quasi ISMS für die Cloud.
Ihr Video oder Ihre Kamera bitte auch nicht
Marlon Gelbke spezialisiert sich auf
anschalten. Sie können ruhig die Fragen im Chat
Netzwerkinfrastruktur sowie auf Workplace-
posten und wir werden auch mündliche Fragen am
Sicherheitsmodernisierung. Sebastian Hohmann
Ende der Session aufnehmen, die letzten 15, 10
sichert unsere komplexen SaaS-Deployments und
Minuten. Guten Morgen, Niko. Willkommen. Du
Anwendungs-Deployments und Alexander Hose
wirst …
treibt unsere Innovation Labs sowie auch unsere
Dr. Nikolaus Schmidt (NS): … probieren wir das größte (unverständlich). In Vorbereitung und als wir
nochmal. Sorry für die Verspätung meinerseits, mein in Kronberg im November (unverständlich) haben,
Rechner ist leider abgestürzt beim Einloggen, also ich wir merken, dass Cloud Security ist eben gerade ein
habe leider wirklich ein technisches Problem gehabt. sehr, sehr heißer Markt. Wir merken, dass alle
Ja, aber ich glaube, Franck hat ja schon begonnen, mittlerweile verstehen, eben das Versprechen der
deswegen auch nur von meiner Seite nochmal Cloud, aber merken, dass die sicherheitsbezogenen
herzlich willkommen, schön, dass Sie heute alle da Herausforderungen bleiben, bleiben immer sehr,
sind, für die nächste Session für unser „Cloud sehr hoch. Alex, wenn wir hier bitte auf den zweiten
Security – der heilige Gral“-Webinar. Wir freuen uns Slide gehen könnten. Wir merken auch, dass in die
ja sehr, dass jetzt doch der Anklang sehr groß ist. Wir Top 9- sozusagen Herausforderungen, die gefühlt
kriegen auch sehr viel Feedback darauf, sei es von unseren Kunden sind, dass 4 davon sind
irgendwie in unseren Kundenunternehmen, sei es Security-bezogen, sei es, dass man … dass unsere
auch lustigerweise von einigen unserer Kunden oder die Nutzer von Cloud verstehen nicht,
Wettbewerber am Markt, also auch ich begrüße was sie machen sollen oder wie sie diese Workloads
auch ein paar Wettbewerber hier. Das zeigt, dass wir absichern sollen.
da, glaube ich, doch ganz gut aufgestellt sind.Was sind die Anforderungen von dem Regulator, Was sind denn eigentlich die wesentlichen Aspekte,
zum Beispiel, oder aus einer Compliance- die wir berücksichtigen müssen, wenn wir eine
Perspektive, die wissen nicht mehr, wie sie skalieren sichere Cloud konzipieren wollen, auf die Cloud zu
sollen, wie die eben eine nachhaltige Strategie gehen ist ja keine Herausforderung … ich log mich
adoptieren können … und ich denke auch, ein sehr mal bei AWS, GCP, Azure, das sind mal gängige
komplexes Thema ist das fehlende Personal. Es gibt Namen, ich log mich mal ins Portal ein. Ich kaufe mir
leider zu wenige, zu wenige Fachleute im Cloud eine VM, lasse sie laufen … Ist das aber auch schon
Security-Bereich. Und in Vorbereitung dieses die grundlegende Sicherheit, die ich erreichen
Webinar wollten wir nochmal über ein paar möchte? Daher haben wir das Ganze auch mal
Schlüsselpunkte unserer Agenda gehen und Ihnen abgespalten und ein Operating Model eingeführt, in
dann eben eine Übersicht geben über die dem wir ganz umfassend die Lebenslinie oder diesen
entsprechenden Bereiche, die wir bei uns haben, und Lebenszyklus der Cloud Security-Thematik ablaufen.
die wir sensitiv am Markt sehen. Wir werden ganz In der ersten Stufe, wenn wir uns da mit der
am Anfang starten mit dem Verstehen, wie man eine Ausrichtung befassen, möchte ich doch die
sichere Cloud Security-Governance aufbauen kann. Entscheidung treffen, wieviel Vertrauen, wieviel
Was sind die Hauptherausforderungen aus Kontrolle möchte oder muss ich haben? Und was ist
Compliance-Perspektive aus einer fachlichen oder da die umfassende Sicherheitsstrategie, die mich
technischen Sicht, wenn man in die Cloud migriert. dort begleitet? Was muss ich denn dort
Wir werden danach mit Marlon auf das Thema von berücksichtigen?
Modernisierung der Sicherheit, wenn man eben in
Wie Sie schon gehört haben, nicht nur der Anbieter
die Cloud geht, sprechen. Wir werden danach mit
ist da entscheidend, sondern auch quasi das Modell,
Sebastian Hohmann über ein paar Szenarien, die wir
das wir verwenden. Also, wir gehen ja davon aus,
merken, sehr stark, im Finanzbereich reden, wenn es
wenn ich auf eine Infrastruktur gehe, ja, dann lagere
um SaaS-Lösungen geht. Und hier werden wir dann
ich die Option aus, dass ich kein eigenes Daten-
einen Deep Dive mit Alexander Hose machen, wie
Center haben muss. Gleichzeitig gebe ich ein
kann man eben (unverständlich) in der Cloud
gewisses Maß an Vertrauen und Kontrolle dem
implementieren? Oder? Nochmal, wenn Sie Fragen
Dienstleister ab, das heißt, dass ich dann ab diesem
haben, bitte gerne im Chat posten und wir werden
Zeitpunkt auch eine Gegenleistung erbringen muss,
die nochmal mündlich am Ende der Session
und dieses Modell ist, glaube ich, mittlerweile
aufnehmen und falls der Presenter sie aufnehmen
allgegenwärtig bekannt. Das nennen wir Shared
kann im Laufe der Präsentation, wir werden unser
Responsibility, aber: Ab diesem Zeitpunkt der
Bestes versuchen. Und dann werde ich an Markus
Shared Responsibility, das ist voll lustig, durch diese
übergeben.
Matrix durchzuschauen, um zu sehen ja, okay, das
Markus Tomanek (MT): Auch von mir noch ein macht dieser Dienstleister, das mache ich, das klick
herzliches Willkommen. Wir starten auch gleich mit ich mal weg und hier ist der Haken dran … Damit ist
einem spannenden Thema und zwar, wir setzen uns es noch lange nicht getan und das wissen
mal an die Situation und denken mal über eine insbesondere die Banken ganz gut, denn es kommt
populistische Sicherheitsstrategie nach und da noch die Stufe 2 dazu. Wie funktioniert mein
merken wir, es wird sehr schnell sehr komplex. Es eigenes Compliance- und Sicherheitsrahmenwerk in
wird auch sehr schnell in eine Richtung gehen, wo diesem Kontext? Was muss ich dabei
man die Kontrolle verliert, sich auf das Wesentliche berücksichtigen? Und da können wir ganz global
zu fokussieren. Wir haben daher versucht, es zu galaktisch anfangen mit Rollen und Zuständigkeiten,
abstrahieren und quasi für uns eine Art Modell mit der Identifizierung davon. Aber deswegen gehen
abzuleiten, um zu identifizieren, was sind denn wir von einem Stufenmodell aus.
überhaupt die Treiber, die uns hier beschäftigen?Wir steigen ab diesem Zeitpunkt irgendwann mal Aber natürlich ist das jetzt, mal rückblickend auf die
tiefer, immer tiefer, immer tiefer, quasi in diesen erste Webinar-Serie nicht direkt der heilige Gral,
operativen Keller ab. Wir möchten ja, dass die Cloud also bitte auch hier noch mal der Hinweis: Schauen
funktioniert, also was muss ich berücksichtigen? Das Sie sich gerne im Detail noch mal den ersten Teil an.
heißt, ich muss mit der Zeit Kontrollen aufbauen. Im ersten Webinar haben wir das Thema
Und ich muss eine konsistente Sicherheit erlangen, in Compliance sehr detailliert berücksichtigt. Das
dem ich auch mal ein Integrationsmodell operieren können wir jetzt natürlich nicht innerhalb der kurzen
lasse. Was sind die Daten? Wie klassifiziere ich die Zeit abfassen. Aber in diesem Kontext können Sie
Daten? Möchte ich, dass diese Daten auch intern dann erkennen, wie in diesem Spektrum von einer
oder extern versendet werden können? Wie gehe ich Anwendung und Implementierung eines gezielten
mit einer eigenen Cloud-Landschaft um? Und dort Rahmenwerks in Ihrer Umgebung, welche
müssen wir berücksichtigen, wie kann ich denn Restrisiken übrig bleiben. Ein Rahmenwerk oder
schaffen, eine Art automatisierte Kontrollen ermöglichen zwar die grundlegende
Sicherheitsfunktionen und Sicherheitskontrollen zu Strategie beziehungsweise die grundlegende
etablieren, die mir helfen diese Governance, diese Ausrichtung, Ihre Cloud-Landschaft, wie sie
Kontrolle zu erhalten? operieren sollen, das heißt, wir wenden uns mit der
Zeit ab von einem Operating Model und gehen mehr
Wenn wir jetzt auf den nächsten Slide schauen,
in Richtung von einer Architektur. Was sind denn die
haben wir uns, ja, sehr zentral, damit beschäftigt.
Guard Rails, die implementiert werden müssen? Wie
Wir haben uns jetzt mehr oder weniger für ein
sind meine Sicherheitsseile aufgebaut, für welche
Betriebsmodell entschieden, das heißt, wir haben ein
Tools und Capabilities entscheide ich mich? Und das
operierendes Cloud-Modell, wir sagen jetzt einfach
alles mache ich, um ein bestimmtes Szenario
mal wir gehen über eine Plattform-as-a-Service. Also
abzufangen, also entwickle ich eine
habe ich meine allgemeine IT darin vernetzt, die ich
Mitigierungsstrategie, womit ich abwenden möchte,
beibehalten kann beziehungsweise beibehalten
dass es Miskonfigurationen gibt, dass es einen
muss. Klar, ich habe als Bank auch meine klassischen
Verlust von Kontrolle und Sichtbarkeit zu meinen
Richtlinien zu erfüllen. In der Regel ist ein State-of-
Daten gibt, das ist auch ungeschützte Daten gibt und
the-Art, ISMS auf ISO 27o01 aufgebaut. Das ist ja
auch zu guter Letzt ein Reputationsrisiko. Weil ich
auch so weit in Ordnung. Es gibt immer, habt ihr hier
quasi derjenige war, der gehackt wurde. Und dafür
noch die Möglichkeit, unterschiedliche IT-Lösungen
haben wir eine Art goldene Lösung gefunden
zu verwenden, das heißt, mein Active Directory kann
beziehungsweise wir haben eine Art Möglichkeit
ich vom (unverständlich) immer noch auf die Cloud
gesehen, wie ist es möglich, simpel diese Restrisiken
anbinden. Auch dort hosten, das ist nicht die
abzufangen? Auf der nächsten Slide sehen Sie dann
Herausforderung. Die Herausforderungen sind die
… Genau, hier sehen wir dann, was unser Weg ist,
cloudspezifischen Anforderungen, die sich ergeben.
uns dem heiligen Gral weiter schrittweise
Und wie identifiziere ich jetzt, dass sich diese
anzunähern und zwar die Integration eines Cloud
spezifischen Anforderungen ableiten
Security Posture Managements, kurz CSPM, also mit
beziehungsweise wo kommen sie her? Wir können
diesem Akronym können sie direkt marktfähig
uns da zum einen an die wesentlichen Treiber, also
losgehen, googeln und schauen, was es für
die technischen Herausforderungen wenden.
Lösungen gibt. Allgegenwärtig und kurz
Gleichzeitig stehen uns dafür aber auch spezielle
zusammengefasst: Das Ziel eines CSPMs ist es, eine
Rahmenwerke zur Verfügung. Da reden wir von BSI
Cloud-Landschaft und eine multiple Cloud-
C5, der CSA CCM mit dem CSA Star. Da reden wir
Landschaft schlichtweg über eine API anzubinden
auch über die Guidelines, also ein bestimmtes Set an
und darüber hinweg über mein ganzes System
Richtlinien, die die Segregation und Isolierung von
eigene Sichtbarkeit zu erlangen.
Panels und Cloud-Umfeld mit berücksichtigt und mit
als Aufgabe an Financial Services abgegeben wird.Das heißt, es ist am Ende des Tages ein lustiges Mit jeder dieser neuen Anpassungen und
Dashboard, in das man reinklicken kann, das macht Anwendungen wuchs dann auch die Angriffsfläche
das Ganze verständlich. Das können Sie auf C-Level auf eine gewisse Art und Weise, was das Bild jetzt
wie auch auf Top-Management-Ebene verwenden, rechts ziemlich gut zeigt. Dieses sternförmige Bild
auch operativ mindestens zum Level Tool mit den einzelnen Bereichen, wo wir nach innen hin
Engineering. Sie können in kürzester Zeit gesehen eine erhöhte Angriffsfläche sehen. Dafür
identifizieren, okay, wo sind denn noch gibt es auch in der Finanzdienstleistungsbranche
Schwachstellen? Was sind noch Compliance-Lücken? sehr viele Beispiele. Nur um jetzt einige zu nennen,
Was sind denn meine Rahmenwerke? Das heißt, Sie ich nenne mal 3 zum Beispiel für die öffentlich
haben auch die Möglichkeit, direkt über die vorhin zugängliche IT-Infrastruktur, ob das Filialen sind
genannten Security Frames zu gehen. Ich klicke quasi oder an Gehsteigen befindliche Geldautomaten. Ein
rein in das ISO 27001 oder ich klicke Indizes, nicht wirklich kleiner Teil der Infrastruktur ist auch
Benchmarks und dann sehe ich direkt, okay, bei wirklich öffentlich zugänglich und damit auch
dieser VM ist diese Richtlinie noch nicht eingehalten. gewissen Risiken ausgesetzt. Dann, wenn wir um
Hier müsste ich nachschärfen. Das wird über Code Cloud-Umgebungen oder allgemein auch um die
wie auch über strategische Ebene geschehen. Das Infrastruktur reden, heterogene Hosting-Standorte,
heißt, Sie haben die Möglichkeit, das ist quasi wieder das heißt, ob jetzt on premise, das heißt auf
vorgelagert, via Operating Model zu ziehen oder firmeneigener Infrastruktur gehostete Services oder
nachgelagert in das operierende Cloud zu ziehen. virtuelle Maschinen und Container auf Public Cloud-
Aber: Wenn Sie jetzt mehrere Clouds verwenden, Anbietern. Oder auf Private Cloud oder eine
dann verstehe ich auch die Herausforderungen. Wir Kombination von diesen verschiedenen Hosting-
sehen jetzt hier links unten mit Azure, AWS, Oracle Standorten. Mit jeder zusätzlichen … mit jedem
und allen Anbietern, die es gibt, es ist durchaus zusätzlichen Punkt erhöht man seine Angriffsfläche.
schwierig, dort immer die spezialisierten Fachkräfte
Dann weiter rechts oben, oben rechts gesehen die
zu haben und das sind bestimmte
mobilen Geräte und natürlich mit mobilen Geräten
Herausforderungen, die es in dieser Multi-Cloud-
ist gemeint auch mobile Mitarbeiter, nicht erst seit
Landschaft gibt. Die Besonderheiten, die es dort zu
der Corona-Pandemie ist es sehr populär, von
berücksichtigen gibt. Die Besonderheiten der
Remote aus zu arbeiten. Das heißt, wir sind immer
Anforderungen, die wir dort zu erfüllen haben,
mehr in einer Situation, wo Unternehmen nicht
darüber wird Ihnen jetzt Marlon Gelpke genaueres
mehr hundertprozentig abschätzen können, in
berichten.
welcher Umgebung sich ein Mitarbeiter genau
Marlon Gelpke (MG): Genau. Der heilige Gral, befindet und ob dieser auch wirklich sicher ist.
Sicherheit und Infrastruktur … nur wie sieht das Andere Beispiele dazu wären jetzt zum Beispiel noch
ganze Thema oder die Themen jetzt in einer die Abhängigkeit von niedrigen Latenzzeiten für
modernen Infrastruktur aus? Wie bereits gewisse Geschäftsbereiche oder auch der Austausch
angesprochen, jetzt auch von Markus, ist die von hochsensiblen Daten über verschiedene
Verwaltung von Sicherheitsstandards über eine Standorte hinweg. Genau. Auf der nächsten Slide …
allgemeine Infrastruktur hinweggesehen … das würde man dann … die aktuelle Lage mit der
zeichnet ein sehr, sehr komplexes Bild, leider. Sicherheit und wie man diese sichere Cloud-
Unternehmen und vor allem auch schon länger Infrastruktur wirklich schafft. Auf der oberen Hälfte
operative Unternehmen sind speziell im der Slide sieht man nochmal grob zusammengefasst
Infrastrukturbereich auch sehr organisch gewachsen. die Top 3 Sicherheitsherausforderungen. Auch die
Mussten Trends gerecht werden, mussten Top 3 Sicherheitsherausforderungen, jetzt spezifisch
Veränderungen gerecht werden, mussten schnell auf Cloud und Cloud-Infrastruktur ganz links sieht
neue Features dazubauen, ohne immer die gleiche man da, also die Cloud ist grenzenlos, es ist nicht
Zeit dazu zu haben, die alten Features auch wieder mehr wie früher, dass man einfach sagen kann:
abzubauen.Das sind wir und das ist der Rest, das ist innen und Hier im Zentrum davon stehen, oder im Zentrum
das ist außen, sondern wir haben eine Situation, wo von meiner Präsentation stehen jetzt diese 4
der Perimeter verschwimmt. Wir können nicht mehr Bereiche, die man in Infrastruktursicherheit sieht,
genau sagen, wo fangen wir an, wo hören wir auf die sind hier auch violett hervorgehoben. Das ist
und wo genau müssen wir physisch unsere einmal die Cloud-Sicherheits-Diagnostik, also die
Sicherheitsmaßnahmen positionieren. In der Mitte Schaffung von Visibilität über die ganze Infrastruktur
sehen wir die Erhaltung der Datensicherheit. Egal, ob hinweg. Nicht nur Visibilität der Infrastruktur,
sich die Daten jetzt bewegen und umso mehr sondern Visibilität der Angriffsfläche der
Hosting-Standorte man hat, umso mehr, genau, Infrastruktur. Containersicherheit, das heißt den
Anwendungen man hat, desto mehr bewegen sich Schutz einzelner Anwendungen und einzelner Teile
Unternehmensdaten auch, desto schwieriger ist es, von Anwendungen. Compliance und Cloud-
deren Schutz so wirklich in dieser Form, wie man es Netzwerksicherheit sind Infrastrukturthemen und
gut kennt, die CIA-Triade, damit meine ich jetzt nicht die Compliance zumindest, auf die Markus vorher
die US-Behörde, sondern Confidentiality, Integrity schon mal angesprochen hat, die 4 Themen, die
und Availability, die Daten anhand von diesen 3 würde ich gerne auf meiner nächsten Zeit nochmal
Punkten wirklich der Sicherung so gerecht zu genauer ansprechen.
werden.
Modernisierung der Sicherheit für die Cloud. Was
Das ist natürlich wichtig im Transit, aber wie auch sind die Kernbereiche hier? Auf der rechten Seite
Address, also wenn sich die Daten bewegen oder sehen wir dieses gesamte Bild nochmal ein bisschen
wenn sie sich wirklich auf einer Lokation befinden. vereinfacht und ich glaube, das Bild zeigt das relativ
Unzureichender Schutz hier kann sehr … also passiert gut und versucht, ein komplexes Thema stark zu
sehr schnell und kann sehr schnell sehr gravierende vereinfachen. Im Zentrum sehen wir hier nochmal
Folgen haben, wie wir auch leider immer wieder in diese komplexe Multi Cloud-Umgebung mit
den Medien lesen können. Auf der rechten Seite verschiedenen Anbietern, den wichtigsten
sehen wir dann noch Tools, die Tool-Landschaft ist Anbietern, die wir hier wenigstens in Europa sehen.
sehr, sehr komplex und Sicherheits-Tools, vor allem, Und rundherum wirklich diese Security Services
wenn man auch um Native Cloud-Sicherheitstools Security-Lösungen und die drum herum gespannt
spricht und die Kombination mit Drittanbietern, dann werden sollten. Was die Abbildung auch nochmal
decken die zwar oft sehr gut die Lösungen ab, aber gut zeigt, ist der untere Teil, die sichere Verbindung
halt nur für Teile der Cloud-Anbieter und an von bereits bestehenden Infrastrukturteilen, aber
Umgebung. Also man muss hier relativ viel Effekt auch von Infrastruktur-Nutzern, das heißt mobile
noch betreiben, um das über seine gesamte Nutzer, Filialen, Hauptsitze und On premise-Daten-
Infrastruktur hinweg wirklich abdecken zu können. Center, die werden alle nicht so schnell wirklich
Auf der unteren Hälfte der Slide sieht man dann verschwinden. Jetzt habe ich es bereits vorher schon
vielleicht ein bisschen ein glücklicheres Bild, also wie mal gesagt, also dieser gesamte
können wir da jetzt wirklich Sicherheit schaffen? Und Sicherheitslösungszyklus von links nach rechts, wenn
wie schaffen wir es, unsere Infrastruktur wirklich man jetzt auf die Infrastruktur sich spezifisch
abzusichern? nochmal konzentriert, dann müssen wir, um so eine
komplexe Situation zu lösen, ein Lösungspaket über
Hier ist auf dem unteren Bild ist der gesamte Zyklus
alle Abstraktionsebenen hinweg finden. Und das
einer umfassenden Cloud-Sicherheitslösung
fängt, hier jetzt auf der linken Seite der Slide zu
dargestellt, und das ist ein bisschen von links nach
sehen, fängt mit sicherem Cloud-Zugang an.
rechts zu lesen, fängt mit Strategie und
Empfehlungen an und hört mit Managed Cloud-
Sicherheitsservices auf.Da würde SASE ins Spiel kommen, also Secure Access Ich nehme hier ganz gerne das Beispiel One Drive
Service Edge als effektive Sicherheitslösung, wie man for Business, also ich hab jetzt unternehmensweit
Mitarbeitern einen sicheren Zugriff auf One Drive Business ausgerollt und ich kümmere
Unternehmensdaten und -ressourcen, egal, wo sie mich um die Sicherheit von One Drive, das heißt
sich befinden, bieten kann. Als zweiter Punkt Intra- Single Sign-on ist notwendig, damit die Mitarbeiter
und Inter-Cloud Security, also wie sichert man Daten, drauf kommen. Ich hab vielleicht ein Data Decap
Datenvolumen, Datentraffic ab zwischen einzelnen Prevention System, um Datenabfluss zurück zu
Standorten und zwischen oder auch innerhalb von verhindern. Und wie stelle ich nun sicher, dass
Standorten, deswegen auch „intra“ und „inter“. Da meine Mitarbeiter dieses One Drive for Business
kommen die beiden Lösungen zum Beispiel Next benutzen und nicht zum Beispiel Dropbox? Und hier
Generation Firewall für Makro-Segmentierung und kann zum Beispiel ein Cloud Access Security Broker
Mikro-Segmentierung für individuelle Anwendungen helfen, um zu identifizieren, wie die Cloud-Dienst-
und Anwendungsteile ins Spiel. Als dritter Punkt, wie Benutzung aussieht in meinem Unternehmen und
auch schon durch Markus bereits angesprochen und dann gegebenenfalls mit dieser Visibilität, also
verwiesen, hier kommt das Client Security Posture nachdem ich dann weiß, okay, ich sehe, dass sehr
Management ins Spiel. Ich werde da nicht nochmal viel Traffic über Dropbox läuft, das heißt meine
genauer ins Detail gehen. Ich glaube, er hat schon Mitarbeiter tauschen entweder untereinander
wirklich super erklärt, aber da ist es … möchte ich Daten aus oder auch tatsächlich mit Externen, und
vielleicht nochmal den Fokus drauf setzen, dass das dann kann ich möglicherweise Trainings starten. Ich
wirklich über, über … also Multi-Cloud geschehen kann dann sagen, okay, ich möchte eine E-Mail-
muss, also nicht nur auf einen Cloud-Anbieter, nicht Kampagne zu meinen Mitarbeitern senden, um sie
nur auf einen Hosting-Standort, sondern über darauf aufmerksam zu machen, dass wir One Drive
mehrere. Zum Schluss kommt noch Container- Business für solche Angelegenheiten haben, was als
Sicherheit und die Absicherung von einzelnen sicher gilt. Ich kann als nächsten Schritt den
Anwendungen und Anwendungsteilen. Das schafft Benutzern möglicherweise ein kleines Pop-up in
man mit Cloud Workload Protection-Plattformen und dem Browser reinkleben, das sie darauf aufmerksam
natürlich die Integration in DevSecOps-Modelle. Gut, macht, hey, du darfst gerne Dropbox benutzen, aber
Sebastian, dann würde ich übergeben an dich. bitte keine firmeninternen Daten, sondern das ist
ein privater Gebrauch. Und wenn das nicht hilft,
Sebastian Hohmann (SH): Cool, danke sehr. Hallo
dann kann man dann auch den Zugang automatisiert
zusammen, wir sehen, das Cloud Security ein relativ
sperren. Nachdem man dann vermehrt Zugriffe von
komplexes Thema ist, das sehr viele Facetten hat und
verschiedenen Usern auf diese als unsicher
sehr viele Bereiche, die man abdecken muss. Ich
geltenden Cloud-Dienste registriert.
möchte jetzt in meinem Teil ein paar von diesen
Bereichen rausgreifen, die wir gehört haben, und Als zweiter Punkt Governance und Compliance. Das
möchte sie mal mit konkreten Beispielen belegen, ist ein relativ interessanter Punkt in Bezug auf SaaS,
also, welche Fragestellungen jetzt in den weil es geht nicht nur darum, dass meine
vergangenen Jahren von unseren Kunden zu uns Governance und Compliance komplett ist, also dass
gekommen sind, wo wir auch durch verschiedene ich jetzt alle regulatorischen Anforderungen
Cloud Security Assessments, Pay Points und Lücken abdecke, wie zum Beispiel: Wie lange müssen meine
gefunden haben, in der Security, und da möchte ich Logs vorrätig gehalten werden? Was für
mal mit dem ersten Punkt anfangen. Asset Discovery Informationen müssen in den Logs stehen, um dann
und Identification, welche Cloud-Dienste werden von gegebenenfalls Auditoren Einblick zu geben in die
meinen Mitarbeitern genutzt? Also wenn ich über Verwendung? Sondern ich muss auch sicherstellen,
Cloud Security rede, ist das so einer der ersten dass dieser Dienst, den ich konsumiere, von dem
Schritte, um zu schauen, okay, was für Dienste Dienstleister, dass der diese Anforderungen eben
benutzen meine Mitarbeiter eigentlich? auch abdeckt.Das heißt, wir müssen schon vor dem Einkauf des Vor allem ist die Gesetzeslage auch für Europa
Produkts sagen, wir möchten jetzt One Drive for anders als für die USA oder für Asien. Und wenn wir
Business nehmen, dann müssen wir sicherstellen, jetzt diese drei Büros global zusammenlegen,
dass wenn wir als Unternehmen One Drive müssen wir uns irgendwie über Datenschutz
verwenden und dann möglicherweise sensible Gedanken machen. Das heißt, wir können
Kundeninformationen, Finanzdaten hochladen, dass Finanzdaten von europäischen Kunden … können
dieser Dienstleister das dann auch so umsetzen wir nicht ohne Weiteres unverschlüsselt in die US-
kann, das es meine Regulatorik abdeckt. Cloud ablegen. Und wenn wir jetzt über SaaS reden,
jetzt zum Beispiel ein Salesforce, dann hat
Als dritter Punkt: Identity and Access Model. Das
Salesforce zwar verschiedene Datenzentren überall
wird mit der zunehmenden Anzahl an Mitarbeitern
auf der Welt, aber, Stand jetzt ist, dass man sich für
und an Rollen, die diese Mitarbeiter erfüllen, immer
ein Datenzentrum pro Instanz entscheiden muss,
mehr zu einem Thema, weil die Komplexität hinter
das heißt, ich muss mich vorher entscheiden, okay,
einem Access Modell extrem ausufernd werden
ich benutze jetzt für meine Instanz, auch wenn sie
kann. Wenn ich jetzt mich entscheide, ich habe
global verwendet wird, das Datenzentrum in
verschiedene Büros mit einzelnen lokalen Lösungen,
Europa, das heißt, die Daten liegen in Europa
um zum Beispiel meinen Kundeninformationen zu
physikalisch. Das heißt also, als Cloud groß rauskam,
managen, ich habe ein Büro in New York, ich habe
wurde viel Werbung gemacht für dieses diffuse
eins in Berlin, ich habe eins in Schanghai … und das
Konzept. Man muss sich um nichts mehr kümmern.
waren vorher Insellösungen, die nichts miteinander
Man verwendet jetzt diesen Dienst. Die Daten
zu tun hatten und auf einmal möchte ich das alles in
gehen in die Cloud und man muss sich eigentlich
die Cloud bringen. Das heißt, ich möchte jetzt zum
keine Gedanken mehr darum machen, wo genau die
Beispiel ein Salesforce verwenden, um alle meine
liegen und was damit geschieht, sondern das
Mitarbeiter darauf zugreifen zu lassen, und die
funktioniert schon alles. Aber jetzt mit den
können miteinander kollaborieren, das ist eine
Datenschutzgesetzen in Europa, die europäische
Unmenge an Permission Sets, an verschiedenen
Datenschutzgrundverordnung oder auch Schrems 2
Profilen, die benötigt werden, an Sharing Rules …
muss man hier viel mehr darauf achten, dass die
Und um das zu überblicken, versuchen die SaaS-
Anbieter eben auch Lösungen anbieten, um die
Anbieter natürlich, das möglichst intuitiv zu gestalten
Daten legal hinterlegen zu können.
und auch übersichtlich zu halten, aber es hilft hier
ungemein, ein weiteres Tool noch mit Das geht auch ganz stark wieder in den Bereich
reinzunehmen, um das Ganze auch regelmäßig zu Governance und Compliance. Ich muss meine legale
prüfen, um jetzt zu prüfen, aha, wir haben jetzt 3 Ausgangslage verstehen, ich muss wissen, welche
neue Profile im letzten Release bekommen. Und alle Algorithmen ich verwenden darf, um Daten zu
3 Profile sind Administratorprofile und können von verschlüsseln. Ich muss wissen, wer von wo darauf
überall auf der Welt zugegriffen werden, so. Und zugreifen kann. Ich hatte zum Beispiel ein Projekt,
hier muss man wirklich darauf achten, dass man da ging es um eine Datenbank, die in Deutschland
nicht unautorisierten Personen Zugriff gibt auf gehostet wurde. Das Produktivsystem war auch in
Systeme, zu denen sie eigentlich keinen Zugriff Deutschland, aber der Support kam nicht aus Europa
haben dürfen. und da musste eine Lösung gefunden werden, wie
nicht europäische Supportmitarbeiter dann diese
Dann als vierter Punkt, der spielt so ein bisschen rein
Systeme benutzen können, ohne Einblick zu haben
zu Identity und Access Model, was für Daten müssen
in Daten von europäischen Kunden. Also das ist ein
in der Cloud verschlüsselt werden? Das ist
hochkomplexes Projekt, Thema und muss auch recht
zunehmend ein großes Problem, weil die
früh schon im Design abgebildet werden, um dann
Gesetzeslage auch … ich will jetzt nicht sagen, unklar
nicht kurz vor Go live an Probleme zu kommen.
ist, aber sie lässt Spielraum zur Interpretation.Dann als fünften Punkt Application and Das ist, das ist ein sehr großer Anwendungsfall für
Configuration. Da gehen wir ganz stark in das Thema Cloud Access Security Broker und bringt auch einen
CSPM, das wir jetzt schon zwei Mal gehört haben. extrem großen Mehrwert, um dann die nächsten
Aber gerade im SaaS-Bereich ist es relevant, weil wir Schritte anzugehen. Dann gibt es noch weitere
hier, wie Marlon schon gesagt hat, über Multi-Cloud Deployment-Methoden, also nicht nur, dass ein
gehen, also wir reden bei SaaS nicht darum, dass CASB jetzt passiv da ist und sagt, okay, ich analysiere
alles standardisiert ist und alle haben die gleiche API, jetzt den Traffic, sondern ein CASB kann auch aktiv
sondern wir müssen Lösungen finden, wie wir in das ganze Geschehen eingreifen und links unten
automatisiert die Konfiguration für verschiedene sehen wir das, hier in der Grafik. Wir sehen, dass die
Insellösungen von verschiedenen Anbietern Devices über das CASB zu den Cloud-Diensten
irgendwie synchronisieren können, damit sie mit den gehen. Das kann man entweder so machen, dass das
Policies, mit dem Procedures, die wir definiert CASB nur für die Authentifizierung und die
haben, dann auch compliant ist. Und wenn wir jetzt Identifizierung da ist. Man kann aber auch sagen,
die Animation triggern, hab ich mal 2 Produkte dass die Devices komplett durch den CASB durch
rausgesucht, die jetzt stark im Trend sind, also Cloud geschleust werden. Das heißt, das CASB hat
Access Security Broker, CASBs sind schon seit kompletten Zugriff auf den Datenverkehr, kann in
längerem auf den Markt und werden oft benötigt, Real Time blocken, kann in Real Time die Daten auch
aber dieses SSPM, also SaaS Security Posture verändern, zum Beispiel kann es diese Pop-ups dann
Management statt Cloud Security Posture schalten, um die User darüber zu informieren, dass
Management, werde ich auch noch gleich ein paar es sicherere Cloud-Dienste gibt als das, was er
Worte zu verlieren. Auf der nächsten Slide sehen wir gerade besuchen möchte. Also so ein Access-
dann ein Beispiel, wie CASB diese Punkte abdecken Modell, das ist so der Ursprung von Access Security
kann, also ein Cloud Access Security Broker wird in Broker und Data Security ist dadurch, dass das CASB
die Infrastruktur eingepflegt. hoch integriert ist in die Infrastruktur, kann man
dann auch Verschlüsselung und Tokenisierung
Um jetzt beispielsweise rauszufinden, welche
machen. Das heißt, Daten werden, bevor sie in die
Dienste meine User benutzen, nehmen wir ein CASB-
Cloud kommen, automatisiert verschlüsselt oder
Produkt, machen das entweder in unser Intranet, das
tokenisiert und werden damit dem Cloud-
heißt, wir hosten es lokal. Da haben wir die meiste
Dienstanbieter niemals im Klartext zur Verfügung
Flexibilität, haben aber auch den Overhead, weil wir
stehen.
eine weitere Komponente haben, die gewartet
werden muss, oder wir setzen das CASB direkt beim Dann, auf der nächsten Slide haben wir einen kurzen
Vendor in die Cloud, das heißt, wir zahlen ein Überblick über SSPM und ich möchte das jetzt nicht
bisschen mehr und der kümmert sich ums komplette überstrapazieren, aber SaaS Security Posture
Operations, aber wie ein CASB jetzt zum Beispiel Management hat die Herausforderung, dass wir
funktioniert für Access Discovery ist, wir nehmen die diese einzelnen Insellösungen haben. Und bevor
Logs von unseren lokalen Firewalls, von unseren man sich zu so einer SSPM Lösung entscheidet, ist es
Proxys. Und wir anonymisieren die und senden die ratsam, vorher zu überlegen, was die
dem Cloud Access Security Broker dazu. Dann Anforderungen sind. Was soll das eigentlich
bekommen wir einen Report darüber, wie die machen? Wie sieht auch meine derzeitige
Benutzung aussieht von verschiedenen Cloud- Benutzung aus oder wie sieht die Benutzung in der
Diensten, zum Beispiel können wir filtern nach: Zukunft aus? Weil diese einzelnen Lösungen haben
Wieviel Traffic hatten wir in der letzten Woche in unterschiedliche Anbindungen, um Konfigurationen
Richtung Dropbox, wieviel wurde hochgeladen? zu lesen und zu schreiben.
Wieviel wurde runtergeladen?Und hier macht es absolut Sinn, wenn man jetzt bei Wenn wir uns einmal anschauen, wie DevOps früher
den Beispiel-Anbietern mal hier unten schaut, ich funktioniert hat, habe ich hier mal exemplarisch ein
hab mal 5 rausgesucht, dass man sagt okay, ich suche kleines Design vorbereitet. Das bedeutet, auf der
meine Anforderungen raus und danach mache ich linken Seite hier sehen wir die ID des Entwicklers,
eine Product Evaluation, das heißt, ich frage diese das heißt der Entwickler entwickelt den Code, pusht,
Anbieter ab, was sie gerade unterstützen und wie die committed ihn zu einem Repository und im
Unterstützung in Zukunft aussehen wird. Und das ist Hintergrund wird an dieser gebaut und zum Ende
absolut ratsam, auch wenn es SSPM sehr gehypt wird deployed, in dem Fall in einem Container-Service.
gerade und absolut zu Recht. Also ich finde, das ist Wenn wir hier Security hinzufügen, kommen wir zu
ein großer Mehrwert für die Cloud Security. Zurzeit einem etwas komplexeren Bild. Der Entwickler hat
muss man wirklich das richtige Produkt für sich immer noch nur die Aufgabe, den Code zu schreiben
finden, bevor man irgendetwas übereilt kauft. Okay, und diesen zu committen, aber im Hintergrund
das war ein kurzer Ausflug, danke sehr. werden jede Menge Prozesse angeschoben,
angestoßen, unter anderem statische Code-
Alexander Hose (AH): Danke, Sebastian. Genau, ich
Analysen, das bedeutet, der Code wird analysiert
würde Sie jetzt einmal gerne mitnehmen zu den
nach Programmierschwachstellen,
Herausforderungen der sicheren Entwicklung in der
Kompositionsanalyse nach unsichere Schwachstellen
Cloud und dort auch einen kleinen Deep Dive
oder aber auch dynamisches Applikationstesting,
vornehmen. Wenn wir uns allgemein einmal
das heißt, ein quasi automatisierter
anschauen, heutzutage Entwickler müssen immer
Penetrationstest.
schneller entwickeln, der Go-to-Market soll immer
schneller sein und deshalb greifen auch viele Und diese ganzen Findings werden zusammengefügt
Entwickler auf Libraries zurück auf Third-Party-Code. in einem Dashboard, um dem Entwickler eine
Das macht den Code aus einer Sicht natürlich Übersicht zu geben. Dies birgt aber nicht nur
sicherer, wenn wir beispielsweise auch Certification Vorteile, ich kann selbst auch aus Erfahrung
Libraries benutzen, das heißt der Entwickler selbst sprechen. Auf einem Projekt, auf dem ich war,
muss nicht mehr selbst, ja, die Standards lesen, das wurden auch solche Security Tools benutzt, um
Design vornehmen, sondern kann externe Libraries beispielsweise Source Code nach Passwörtern zu
einbinden. Das birgt aber gleichzeitig auch ein hohes durchsuchen. Da haben wir in der Vergangenheit
Risiko, wenn wir uns dort die Statistiken angucken. gesehen, dass das sehr häufig Probleme birgt,
Knapp 63 % des Codes von Drittanbietern hat beispielsweise das auf GitHub plötzlich
unsichere Konfiguration. Oder wenn wir uns auch irgendwelche API-Keys auftauchen oder auch
anschauen, wenn wir Container in der Cloud laufen Passwörter und das Applikationsteam hat eine Liste
lassen, knapp 96 % der Container haben bekannte von knapp 5.000 Findings bekommen. Von
Schwachstellen und das heißt, dort müssen wir mit individuellen Zeilen Source Code. Das hat dann im
Security einhaken und schauen, dass wir solche Endeffekt knapp anderthalb Entwickler für 2 Tage
unsicheren Libraries wie beispielsweise auch eine beschäftigt durch den kompletten Source Code
Integration vom Log4J … dass wir diese früh im durchzugehen und im Endeffekt ja alle bis auf 3
Zyklus der Entwicklung identifizieren, mitigieren, um Findings als False Findings zu klassifizieren.
sicherzustellen, dass diese gar nicht erst in Bedeutet, wir nehmen nicht nur ein Security-
Produktion gehen. Einer der Ansätze dabei ist der Produkt und packen es mit in unseren Security
DevSecOps-Ansatz. Das heißt vom, ja, älteren Development Life Cycle, sondern dass … diese
DevOps-Ansatz fügen wir Security hinzu und deshalb müssen auch richtig angepasst werden, richtig
der DevSecOps und dass sehen wir auch schon in den integriert werden, damit am Ende der Entwickler
Statistiken, dass wir die Angriffsflächen um ein nicht mehr Zeit dafür verwendet, irgendwelche
Vielfaches reduzieren können. False Positives zu identifizieren, sondern True
Findings hat, mit einer hohen Kritikalität, die er sehr
einfach lösen kann, bevor die Applikation live geht.Um hier jetzt noch einmal ein bisschen tiefer in die oder die Schwachstellen sind nicht kritisch genug
Demo einzusteigen, habe ich eine Demo-Website oder sind vielleicht auch False Findings, weil ich
vorbereitet vom Cloud Innovation Lab von diese Library hier nicht benutze. Und ich setze diese
Accenture. Diese ist in dem Beispiel in AWS gehostet. Applikation live, ich gebe quasi unter Umständen
Und der Entwickler würde jetzt eine Änderung an mein manuelles Sync Over, um zur nächsten Stage
dieser Website vornehmen. In dem Beispiel wollen zu kommen und würde dann im letzten Schritt, im
dynamischen Applikationstests auch die Live-
wir einmal das Hintergrundbild der Ananas ändern
Website auch mal testen, dort sehe ich auch schon
und dann den Strand und oben die Headline ein
die Änderungen, die ich gemacht habe. Das heißt,
wenig anpassen. In AWS im Hintergrund sieht es das Bild wurde ausgetauscht, das ist eine Palme und
dann folgendermaßen aus … das heißt in unserem im Heading wurden Raketen hinzugefügt. Das würde
Secure Software Development Life Cycle haben wir dann den letzten Schritt abbilden. Das heißt, dort
eine sogenannte Pipeline definiert, die genau die würde die dynamische Applikationsanalyse
Steps, wie ich gerade gesagt habe, nacheinander passieren und nachdem dies auch abgeschlossen ist,
abarbeitet. Das geht los, im ersten Step mit … dass würde der Entwickler oder der Release-Manager
der Source Code gepoled wird, danach haben wir dann die Applikation freigeben für ein Deployment
eine statische Code-Analyse, danach wird die in die Live-Umgebungen. Und da kann man dann
Applikation deployed und wir kommen zu einem beispielsweise einen manuellen Prozess einfügen,
dynamischen Applikationstesting. wo durch einen kleinen Klick im AWS-Backend dann
alles sofort live genommen wird und über
Und wenn ich jetzt einfach mal in den ersten Schritt verschiedene Deploymentarten die neueste
reingehe, dem Bauen der Applikationen, und dort Applikation dann auch für den Endkunden zur
der statischen Code-Analyse, sieht man im Verfügung steht. Und damit würde ich abschließen
Hintergrund in der Cloud, das ist das AWS-Backend, und wieder übergeben.
sage ich einmal, dass dort die Applikation auch
getestet wird. Wir sehen hier, dass hier gerade der FY: Großes Dankeschön, Alexander, und an all die
Container selbst getestet wird. Das Testing ist ‚in anderen Kollegen. Gäbe es hier … wir sind über
progress‘ und danach haben wir eine bestimmte viele, viele Inhalte gegangen heute. Wie
versprochen ein gewisser Deep Dive. Gibt es
Anzahl von verschiedenen Findings und das geht
Fragen? Ich habe soweit keine inhaltlichen Fragen
quasi alles im Hintergrund. Der Entwickler muss
im Chat gesehen, Sie können aber auch gerne Ihr
dafür nichts anstoßen, hat keine weitere Arbeit und Mikrofon aufmachen und die Frage laut stellen …
kann quasi, währenddessen die ganzen Analysen möchte Sie nur erinnern, dass das aufgezeichnet
laufen, weiterentwickeln, Dokumentationen wird. Ansonsten würden wir auch gerne nochmal
schreiben oder ähnliches. Diese ganzen Findings über ein paar Hot Topics rangehen? Vielleicht dann
werden dann zusammengefasst im Dashboard, die eine Frage an Markus: Was hast du über deine
beispielsweise der Entwickler sich anschauen kann, letzten Projekte im Finanzbereich-Umfeld gesehen,
aber auch der Projektleiter, der Projektmanager, um als vielleicht hauptsächliches Hindernis aber auch
einen guten Überblick zu bekommen, wieviele Haupttreiber, wenn es um Cloud, Cloudmigration
Schwachstellen hat gerade der neueste Release geht?
meiner Applikation?
MT: Danke schön, ja, das ist durchaus ein
Und kann aber auch dann explizit in bestimmte interessantes Thema. Normalerweise würde man
Schwachstellen genau reingehen. Ich hab jetzt jetzt sagen, die Regulatorik war so gesehen der
exemplarisch hier einmal rausgenommen mit einer Bremser. Das war tatsächlich nicht der Fall, obwohl
Low Severity, das heißt, die ist unter Umständen man hier von einer multinationalen Bank spricht.
nicht besonders relevant für den Release, den ich Hier war es tatsächlich eher die Frage, wie die
gerade baue. Das heißt, der Entwickler könnte dann treiben wir das Ganze zurück und wir harmonisieren
entscheiden okay, hier gibt es nicht genug … wir tatsächlich die Anforderungen an die Cloud jetzt
hin zur technischen Umsetzung?Also letztendlich die Lösung, die wir angestrebt Also wenn es dazu noch Deep Dive-Fragen gibt,
haben, für unseren Cloud-Dienstleister, den wir gerne jetzt stellen, es ist ein sehr spannendes
gewählt haben, beziehungsweise den sich der Kunde Thema. Man muss aber eben genau identifizieren,
selber gewählt hat, war zum einen erst mal, Schritt 1, wo man in die Tiefe geht, weil letztendlich kann ich
Anpassung, also Anpassung heißt, wir haben die jetzt auch anfangen, alle Rahmenwerke auswendig
Garants als erstes nachgezogen in Richtung ist die herunterzubeten aber ich glaube, das wollen Sie
Cloud konform oder nicht? Danach haben wir sie nicht.
quasi über ein Jahr lang stehen lassen, also die
FY: Vielen Dank, Markus. Ansonsten vielleicht … eine
Compliance war dort nicht die Challenge und das ist
Frage an Marlon. Wir haben öfters die Thematik im
auch sehr obskur, weil ich das sehr oft höre von
Finanzumfeld gehabt, wie kann man eben die Cloud
anderen Banken und von anderen
mit den On Premises, die Dienstinfrastruktur vor Ort
Finanzdienstleistern.
von Banken oder Finanzinstitutionen verbinden oder
Das es immer dann heißt, ja, wir machen ständig nur wie soll ich dann unterschiedliche Cloud-Anbieter,
Compliance und keine Security. Ich hoffe auch, dass sei es AWS, Azure oder GCP, wie kann ich diese
es mit der Zeit und mit der Entwicklung auf die Cloud Viererkonstellation miteinander verbinden? Das sind
davon zurückgeht, denn was wir eben festgestellt vielleicht ein paar von den Richtungen oder Ideen
haben, deswegen auch nochmal zu dem Punkt mit und Themen, die wir umgesetzt haben bei unseren
dem Harmonisieren, wir waren in der Entwicklung Kunden?
sehr schnell, also diese Acceleration, die wir hatten
MG: Ja, also das ist … schließt auch ein bisschen so
über die technische Implementierung und so weiter
an meinen ersten Punkt an, dass viele … die ganze
und sofort, die hat dann am Ende des Tages dazu
Infrastruktur halt sehr organisch gewachsen ist. In
geführt, dass man eher tatsächlich zu dem Punkt
dem Verlauf bei vielen Kunden, die ich gesehen hab,
gelaufen ist, den ich erwähnt habe, sogenannter
auch die Visibilität auf eine gewisse Art und Weise,
Kontroll- und Sichtbarkeitsverlust, sprich, man hat
ich möchte nicht sagen, verloren gegangen ist, aber
(unverständlich) anfangen müssen, zu identifizieren.
verschwommen wurde … die Sicht so ein bisschen
Wie werden meine Kontrollen eigentlich erfüllen?
auf die Infrastruktur verschwommen wurde. Und da
Wohl wissend, dass ich sie mache. Also man hat
ist die Visibilität natürlich kritisch, also auf die
einen super System, alles wird gemonitort, alles wird
Datenflüsse. Wo fließen meine Daten, was ist mein
getrackt, aber keiner hat mehr eine Ahnung, wer
A, was ist mein B, was ist der Ursprung, was ist das
macht das überhaupt? In welcher Abteilung findet
Ziel? Um dann in einem zweiten Schritt natürlich
das statt? Und wir haben quasi als Lösung, also quasi,
dort zielgerichtet ansetzen zu können, mit
um auch mal zu einem Ende zu kommen von diesem
Segmentierungslösungen. Und
ständig nur „Herausforderungen und alles ist
Segmentierungslösungen, da muss man auch klar
schwierig“ … wir haben letztendlich ein Operating
sagen, es gibt nicht die eine Lösung, die zentral
Model nachgezogen, was zwar sehr customized ist,
eingesetzt werden kann, sondern es wird leider, in
also es ist nicht dieses Typus AWS Cloud Operating
Anführungsstrichen, sehr schnell sehr auch wieder,
Model und lauf mal durch und verteilt das mal,
sehr komplex. Es gibt Lösungen, keine Frage. Aber
sondern wir haben es einfach mal so an die
sie ist eher dezentralisiert und durch die
Umgebung und an den speziellen Kunden angepasst,
Infrastruktur hindurch. Da muss man wirklich tief
dass wir im Nachgang quasi jetzt eine Liste haben
unten ansetzen und von Mikrosegmentierung sich
über diese Rolle, wie wird diese Capability betrieben
hocharbeiten oder von Makrosegmentierung sich
und diese Capability ist compliant zu Anforderungen
runterarbeiten, was auch immer da der Vorgang ist.
ABC beispielsweise aus BSNSync 5 oder eben aus der
ISO Norm.FY: Vielen Dank, Marlon. Vielleicht die nächste Frage Umso höher ist die … ja, umso höher ist es, dass
an Alex. Du bist ja auf unterschiedlichen Projekten im Entwickler nicht mehr so viel Wert auf Security
Finanzumfeld unterwegs, typischerweise in ihrer legen oder äh Wege drumherum finden.
Anwendungssicherheit. Was sind so typische
FY: Vielen Dank, Alex. Wir kommen zum Ende
Entwicklungsherausforderungen im
unseres Webinars. Ich möchte Ihnen noch einmal
Vernetzungsumfeld, wenn man eben in die Cloud
allen danken für Ihre Teilnahme. Es hat uns extrem
geht oder in der Cloud schon ist.
gefreut, dass ihr euch die Zeit heute früh genommen
AH: Mhm. Vielfältige Herausforderungen auf jeden habt. Wenn Sie Fragen haben, können Sie gerne
Fall. Wenn wir uns auch die Entwicklung von nochmal auf uns zukommen. Weitere Informationen
Applikationen anschauen, muss man vor allem recht zum dritten Teil des Webinars werden Anfang März
früh im Prozess schon anfangen, auch an Security zu kommuniziert. Und ja, wie schon erwähnt, diese
denken. Das bedeutet, wenn wir quasi in der Präsentation wird in den kommenden Tage auf
Entwicklung einer Applikation der Cloud sind und unserer öffentlichen Website publiziert sowie auch
dann erst anfangen, über Security nachzudenken, ist auf sozialen Medien. Wir bedanken uns bei Ihnen
es schon viel zu spät, weil die größten Fehler und wünschen Ihnen einen schönen Tag.
passieren im Design. Das ist losgelöst von der Cloud,
also spielt jetzt Cloud … ist quasi ein Faktor, den ich
mitbedenken muss und muss da dann auch an
andere … ja, andere architektonische
Entscheidungen treffen. High Availability in der
Cloud? Welche Services benutze ich, wenn man sich
das anschaut? Es gibt beispielsweise Container-
Services, die von dem Cloud Service Provider selbst
betrieben werden. Man kann selbst Kubernetes
Cluster aufbauen … Das sind viele Entscheidungen,
die man fällen muss. Und, wenn man dann selbst
mehr Cloud entwickelt, kommt oftmals noch ein sehr
neuer Bestandteil dazu. Das ist dann Infrastructure
as Code. Das heißt, wenn ich meine Infrastruktur
selbst per Code provisioniere, kann man dort auch
Schwachstellen einbauen oder Fehlkonfigurationen
haben. Das ist ein recht neuer Teil, weil das gab es
einfach viele Jahre vorher noch nicht. Das heißt, das
muss man auch in die Planung mit rein … ja,
hinzufügen, und wenn man diese Infrastructure as
Code entwickelt, dort auch Security hinzufügen. Und,
umso mehr Automatisierung man einfügt, das hatte
ich vorhin ja schon einmal eingangs kurz erwähnt,
diese Tools müssen auch alle richtig konfiguriert sein,
weil da spielt auch … ob ich jetzt in die Cloud gehe,
das ist natürlich … ja, für viele Kunden auch nochmal
etwas Neues, aber ich möchte vor allem
sicherstellen, dass Entwicklern keine Steine in den Copyright © 2022 Accenture
Weg gelegt werden. Umso mehr Security Produkte All rights reserved.
ich habe, die falsch konfiguriert sind und eher Steine Accenture and its logo
in den Weg legen als Vorteile schaffen. are registered trademarks
of Accenture.Sie können auch lesen
