Security Chaos Engineering 1 Notwendigkeit neuartiger Sicherheitskonzepte

‍

Verteilte Systeme – insbesondere Cloud-Infrastrukturen – sind in den letzten Jahren immer beliebter geworden. Cloud-Infrastrukturen haben jedoch einzigartige Eigenschaften und daher spezifische Sicherheitsanforderungen. In diesem Artikel werden wir uns die Eigenschaften der Cloud, traditionelle Sicherheitskonzepte und die Gründe dafür ansehen, warum sie die Sicherheit in der Cloud nicht ausreichend abdecken.

Das Aufkommen des Cloud-Computing hat die Art und Weise, wie Unternehmen über IT-Infrastrukturen und -Dienste denken und mit ihnen interagieren, grundlegend verändert. Cloud-Computing bietet Flexibilität durch Skalierbarkeit nach Bedarf, nahezu unbegrenzte Speicher- und Rechenkapazität und zahlreiche weitere Vorteile. Diese Vorteile führen jedoch auch zu einer Komplexität der IT-Infrastruktur und -Dienste, die es vorher nicht gab. Die Anzahl der Systeme, die innerhalb der Cloud-Umgebung interagieren, sowie die Größe der Umgebung selbst haben massiv zugenommen. Die Flexibilität und Skalierbarkeit der Cloud ermöglicht es, eine große Vielfalt miteinander verbundener Anwendungen zu hosten.

Darüber hinaus wird die Cloud-Infrastruktur häufig als Infrastruktur als Code bereitgestellt und verwaltet, was die Komplexität erhöht.

Aus diesem Grund läuft auf diesen Systemen eine große Menge Quellcode. Daher ist die Abhängigkeit von externen Bibliotheken gängige Praxis, was dazu führt, dass externe Schwachstellen in die eigene Infrastruktur integriert werden. Darüber hinaus führt das Hinzufügen einer neuen Anwendung dazu, dass sich das System weiterentwickelt, z. B. durch zunehmende Abhängigkeiten zwischen kommunizierenden und kooperierenden Anwendungen. Dies gilt insbesondere für serverlose Anwendungen, Mikrodienstanwendungen, Überwachung und Protokollierung. Diese Umstände schaffen ein komplexes Netzwerk aus verknüpften Anwendungen und versteckten Abhängigkeiten. Für Menschen ist es schwierig, den Überblick über die Cloud-Architektur, die Arbeitslasten verschiedener Entwickler und bestehende Abhängigkeiten zu behalten. Wenn dieser Überblick verloren geht, führt dies zu verschiedenen entscheidenden Sicherheitsproblemen und Bedrohungen wie Identitäts- und Zugriffsverwaltung, Fehlkonfiguration und mangelndem Wissen über Sicherheitslücken der eigenen Infrastruktur.

In der Zeit vor der Cloud schrieben Entwickler ausschließlich Anwendungen, während der Rest des Stacks – einschließlich der Sicherheit – zum IT-Betrieb gehörte.

Viele Organisationen betrachteten Sicherheit als externe Praxis, sobald sie ihren Quellcode in Betrieb nahmen. Sicherheit war nur ein Schritt des Entwicklungsprozesses, gemessen an der Abwesenheit negativer Ereignisse und Vorfälle, die immer als etwas Negatives angesehen wurden, anstatt als Gelegenheit zum Lernen und Verbessern. Heutzutage sind Entwickler für den gesamten Stack einschließlich der Sicherheit verantwortlich. Sicherheit gehört jedoch nicht zu ihrem regulären Arbeitspensum und ihren Kompetenzen. Entwickler zielen darauf ab, den Code, den sie entwickeln, zu verbessern, indem sie ihn entweder schneller oder stabiler machen. Die Integration von Sicherheit in diesen Prozess erhöht durch notwendige Scans, Kontextprüfungen und Vergleiche mit Erwartungen nur noch mehr den ohnehin schon hohen Arbeitsaufwand und die Komplexität. Dies macht Sicherheit zu einem nachträglichen Gedanken und führt zu einer Abneigung gegen Sicherheit.

Eine im Jahr 2019 durchgeführte Untersuchung zeigte, dass fast 70 % der Entwickler für die Sicherheit von Container-Images verantwortlich sind, aber fast die Hälfte von ihnen wird keine neuen Schwachstellen in diesen Containern finden können.

Ein einfaches Update oder eine Neuerstellung würde fast zwei Drittel der Schwachstellen in solchen Container-Images beheben. Darüber hinaus enthielt ein durchschnittliches System 22 Schwachstellen. Fast 90 % der Schwachstellen, die Systeme nicht ausreichend schützen, stammen aus dem Anwendungscode selbst. Weitere Informationen finden Sie hier. Diese Zahlen zeigen den Mangel an Kontrolle über die Sicherheit und die Tatsache, dass Entwickler keine Sicherheitsexperten sind, sondern Unterstützung, neue Ansätze und Tools benötigen, um ihnen bei der angemessenen Absicherung zu helfen.

‍

‍

• Zusammenfassend lässt sich sagen, dass es Diskrepanzen zwischen der Art und Weise gibt, wie Unternehmen mit Sicherheit umgehen und wie sie damit umgehen sollten, sowie zwischen dem, was Entwickler tun können und wollen und was sie tun müssen. Unternehmen sollten Cloud-Sicherheit als Folgendes betrachten:
• eine Notwendigkeit während des gesamten Prozesses, von der Entwicklung über die Bereitstellung bis hin zu regelmäßigen Updates als Mehrwert.

• proaktive Implementierung, um sicherzustellen, dass Systeme wie vorgesehen funktionieren und von Hackern nicht ausgenutzt werden können.

Daher müssen Unternehmen ihre Sicherheitsstrategie überdenken und über traditionelle Konzepte hinausgehen. Einer dieser neuartigen Ansätze ist Security Chaos Engineering, dessen allgemeines Konzept wir im nächsten Beitrag besprechen werden.

Wenn Sie an weiteren Einzelheiten interessiert sind, wie A&B-Sicherheitsexperten dabei helfen können, eine Security Chaos Engineering-Kultur in Ihrem Unternehmen zu etablieren, schauen Sie sich unser SCE-Programm an oder kontaktieren Sie uns unter Alice&Bob.Company!

Verwendete Ressourcen und interessante Inhalte zu diesem Thema:

1. https://www.youtube.com/watch?v=3Oc4-cMkGJY

2. https://www.conf42.com/Cloud_Native_2021_Uma_Mukkara_reliability_cloud_native_systems

3. https://www.conf42.com/Cloud_Native_2021_Matt_Jarvis_conunuous_security_pipelines

4. Torkura, Kennedy A., et al. “Continuous auditing and threat detection in multi-cloud infrastructure.” Computers & Security 102 (2021): 102-124

5. Rinehart, Aaron, and Shortridge, Kelly – Security Chaos Engineering (2020)

6. https://www.conf42.com/Chaos_Engineering_2021_Mikolaj_Pawlikowski_chaos_engineering_2021

7. https://www.conf42.com/Chaos_Engineering_2021_Kennedy_Torkura_fault_injection

8. https://www.conf42.com/Cloud_Native_2021_Josh_Stella_security_iam

9. https://www.conf42.com/Cloud_Native_2021_Stuart_Green_loud_thread_landscape_2021

10. Rinehart, Aaron – Security Chaos Engineering: How to Security Differently (2021) (https://www.verica.io/blog/security-chaos-engineering-how-to-security-differently/, last accessed 13.06.2022)

11. https://www.conf42.com/Chaos_Engineering_2021_Yury_Nio_Jhonnatan_Gil_Chaves_cloud_security_chaos_engineering

12. Rubóczki, Edit Szilvia, and Zolatn Rajnai. “Moving towards cloud security.” Interdisciplinary Description of Complex Systems: INDECS 13.1 (2015): 9-14

13. Basu, Ron– Implementing Quality. A Practical Guide to Tools and Techniques; Enabling the Power of Operational Excellence (2013)

14. Zhang, Ni, Di Liu, and Yunyong Zhang. “A research on cloud computing security.” 2013 International Conference on Information Technology and Applications. IEEE, 2013

15. Rinehart, Aaron, and Nwatu, Charles – Security Chaos Engineering: A new paradigm for cybersecurity (2018) (https://opensource.com/article/18/1/new-paradigm-cybersecurity last accessed 13.06.2022)

16. Armbrust, Michael, et al. “A view of cloud computing.” Communications of the ACM 53.4 (2010): 50-58