applikationszentrierte security: endgültiger ...€¦ · exxo it-services freudenberg it fujitsu...

© COPYRIGHT UNITED SECURITY PROVIDERS

CEO, United Security Providers AG

Michael Liebi

Ad Vantis Innovation AG

Prof. em. Dr. Hannes Lubich

Applikationszentrierte Security: endgültiger Kontrollverlust oder Paradigma-Wechsel?


Ausgangslage

Nov. 2019 Swisscom Dialog Arena

Die aktuellen Trends in der Informatik verändern unser Verständnis der ICT-Dienst-Erbringung grundlegend.

Dies eröffnet neue Chancen, birgt aber auch neue Risiken.

Nur sehr agile Unternehmen werden diese Herausforderung langfristig meistern.


Trend 1: immer feinkörnigere Virtualisierung


Phase 1

Bezug extern betriebener ICT-Infrastrukturen (Infrastruktur, Plattform oder Software «as a service»)

Phase 2

Bezug extern betriebener Applikationen «as a service»

Phase 3

Bezug extern betriebener Einzelfunktionen in «Containern», die agil erstellt, konfiguriert, ausgebreitet und betrieben werden


Trend 2: immer komplexere ICT-Auslagerung


Phase 1

Outsourcing/Outtasking von ICT-Leistungen

Phase 2

Nutzung hoch-standardisierter Dienst-angebote aus der Cloud

Phase 3

Nutzung agil / dynamisch konfigurierter, hybrider «Multi»-Clouds


Feinkörnige Virtualisierung

Auslagerung in komplexe Cloud-

Strukturen

+

KontrollverlustErhöhte Komplexität

Erschwerte FehlersucheZusätzliche Kosten und Risiken

+

Verbesserte «time to market»Konzentration auf Kernkompetenz

KostenflexibilisierungZusätzliche Chancen

Die Kombination beider Trends



Alles ist digital, dynamisch, #DataDrivenbzw. zukünftig selbstlernend und in Echtzeit selbstkonfigurierend

Definition der nötigen «Leitplanken»/Kontrollen

Echtzeit-Überwachung, Ereignis-Bewertung und komplexe Korrelation

Fähigkeit zur Risiko-Erkennung und raschen Reaktion

Erhöhte Agilität der gesamten Wertschöpfungskette (d.h. ICT plus Prozesse, Organisation, Kunden, Partner/ Lieferanten usw.)

Abkehr von statischen Regelwerken & Kontrollen hin zu kontinuierlicher Chancen-/Risiken-Bewertung

Selbstlernende Erkennungs- und Bewertungsmechanismen

Integration, z.B. «DevSecOps»

Die ICT Wertschöpfung basiert auf komplexen, feinkörnigen, ausgelager-ten Dienstelementen, die gegenüber den Anwendern als integrale Dienste erscheinen müssen

Bewirtschaftung von komplexen «multitenancy» Vertrauensketten (Identitäten, Rollen, Rechte usw.)

Aufrechterhaltung der Governance und nötigen Beweisketten

Neue Heraus-forderungen

Benötigte Antworten der Cyber Security

Handlungsfelder



Digital Transformation

New Digital Technologies Used Everywhere

Engage theCustomers

Empower theEmployees

Automate theBusiness

Transform theProducts

Data DATA DATA DATA

Manage Identities

Manage Auth

Manage Access

Ensure Cyber Protection

ConnectedThings

APIs Apps Portals



Abacus

Abraxas

Accenture

All for One Steeb

Allgeier

Arkadin

Atos

Avanade

Avaya

Bechtle Steffen

Bedag Informatik

Bexio

Bison ITS

BT

Cancom/Pironet

Capgemini

CGI

Cisco

Cognizant

Comarch

Computacenter

Dimension Data

Dimension Data (NTT)

DXC Technology

Econis

EveryWare

Exact Software

Exxo IT-Services

Freudenberg IT

Fujitsu

HPE

Infoniqa

Itris

Lake Solutions

Leuchter IT

Mitel

MTF

Myfactory

Netcloud

Netstream

NFON

Nissen & Velten

Orange Business

PlusServer

Power Solutions

ProCloud

Rackspace

ReachOut

SAP

SmartIT

Sunrise

Swisscom

T-Systems

UMB

UPC

Verizon

VSHN

Wagner

Weclapp

YoungSolutions

Lokale Anbieter: z.B. 60+ Schweizer Cloud Provider

Private Cloud, Public Cloud, Multi Cloud?

plus ein zunehmend überfüllter ‘Club of Unicorns’



«Hybrid Multi-Cloud» Architekturen werden «Eine Cloud für alles» Strategien ersetzen

Unternehmen streben danach, das Beste aus ihren Digitalisierungsinvestitionen herauszuholen und entscheiden sich deshalb zunehmend für Public und Private Clouds, indem sie einen «Hybrid Multicloud»-Ansatz verfolgen.


37B

Container Downloads

15K

Job Inserate auf LinkedIn

3.5M

DockerisierteApps

200+

Aktive Docker User Groups

Docker Momentum

Zahlen vom März 2018, anlässlich des 5. Geburtstags von Docker



Welche Technologievorteile werden Sie Ihrer Meinung nach erzielen?

• Verbesserte Isolierung

• Konsistente Umgebung von der Entwicklung bis zur Produktion

• Bessere Skalierbarkeit und Automatisierung

• Entwickler können ihre bevorzugten Toolsetsverwenden.

• Leichtgewichtig, geringer Ressourcenbedarf als VMs

• Einfache Versionskontrolle, einfache Updates

• Verbesserte Portabilität

Welche Geschäftsvorteile werden Sie Ihrer Meinung nach erzielen?

37B

Container Downloads

15K


3.5M

DockerisierteApps

200+


Docker Momentum

Zahlen von März 2018, anlässlich des 5. Geburtstags von Docker

Containerisierung transformiert die IT



Welche Technologievorteile werden Sie Ihrer Meinung nach erzielen?

• Verbesserte Isolierung

• Konsistente Umgebung von der Entwicklung bis zum Produkt

• Bessere Skalierbarkeit und Automatisierung

• Entwickler können ihre bevorzugten Toolsetsverwenden.

• Leichtgewichtig / Geringer Platzbedarf als VMs

• Einfache Versionskontrolle, einfache Updates

• Verbesserte Portabilität

37B

Container Downloads

15K


3.5M

DockerisierteApps

200+


Docker Momentum

Zahlen vom März 2018, anlässlich des 5. Geburtstags von Docker

Containerisierung transformiert die IT

Welche Geschäftsvorteile werden Sie Ihrer Meinung nach erzielen?


Die Containerisierung bietet Vorteile für Business und Technologie.


Anwendungs-Entwickler

• Kürzere Zyklen, kontinuierliche Lieferung• Verwendung passender (Open Source)

Komponenten• Freie Wahl der Cloud

Schneller! Dynamisch!

Infrastruktur-Betreiber

• Begegnen den Schwachstellen und Bedrohungen kummuliert

• Haben schon heute mit den heterogenen Services und Konfigurationsspezifika der unterschiedlicher Umgebungen zu kämpfen

• Benötigen Transparenz und Kontrolle in definierten Umgebungen und Prozessen

Bedacht! Kontrolliert!

Kultureller Gap zwischen Anwendungs-Entwickler und Infrastruktur-Betreiber


9 von 10 Sicherheitsexperten sind über die Cloud-Sicherheit besorgt


MISCONFIGURATION

CONSISTENT POLICIES ACROSS ENVIRONMENTS CONSISTENT POLICIES ACROSS ENVIRONMENTS

MISCONFIGURATION


9 von 10 Sicherheitsexperten sind über die Cloud-Sicherheit besorgt


Bedenken Sie: 9 von 10 Sicherheitsexperten sind über die Cloud-Sicherheit besorgt.

Top drei Herausforderungen

• Datenverlust und Sicherheits-Lecks• Bedrohungen des Datenschutzes• Verletzung der Vertraulichkeit

Grösste Gefahren bei der Cloud Security

• Fehlkonfiguration von Cloud-Plattformen• Unzureichende Zugangskontrolle• Unsichere Schnittstellen (APIs und Dienste)

Das verursacht Kopfschmerzen

• Fehlende Sicht auf die Infrastruktursicherheit• Durchsetzung einheitlicher Sicherheitsrichtlinien in Cloud

und lokalen Umgebungen• Komformität

Und der Trend zu Agilität and DevOps schürt das Feuer zusätzlich.

Anwendungs-Entwickler

• Kürzere Zyklen, schnellere Entwicklung• Container und Mikroservices (Cisco prognostiziert, dass

im Jahr 2021 95% der neuen Apps containerbasiert sind).

• Wollen eine breite Palette von Open-Source-Komponenten einsetzen

• Möchten die freie Wahl der Cloud

Infrastruktur-Betreiber

• Begegnen grösseren Sicherheitsbedrohungen und Schwachstellen

• Haben bereits mit den heterogenen App-Services und Richtlinien der unterschiedlichen Clouds zu kämpfen

• Benötigen Transparenz und Kontrolle in definierten Umgebungen und Prozessen

Um die Herausforderungen zu meistern, müssen Unternehmen eine zentrale Kontrolle, in Kombination mit der Agilität von DevOps, ermöglichen. Legacy-Sicherheitstools tragen jedoch nur sehr begrenzt zu diesem Ziel bei.


App Delivery und WAF-Service, zum schlüsselfertigen Schutz vor OWASP Top10 Risks.

Adaptive & vielseitige Authentsierungs-Services mit domänen-übergreifenden SSO-Funktionen, die sich in bestehende IDMs und IAM-Prozesse integrieren lassen.

FederationFunktionalitäten, mit denen sich cloud-basierte (oder von Partnern kontrollierte) Apps und Identities integrieren lassen.

API-steuerbares, Client IDM und Benutzerverzeichnis mit Provisionierung, Self-Services und Admin-Delegation.

FEDERATE IDENTITYACCESSWAF

Reverse ProxySSL TerminationWeb SecuritySession Management

User AuthenticationTrust ElevationSSO, Token ServicesUser Self Services

SP, IDP, IDP BrokerRP, OP

3rd Parties IDs StoreProvisioningUser Admin

Erforderliche Security Controls


Containerized Virtual Appliances Hardware HybridAnpassungsfähig an den Stand und die Strategie der Cloud


Anpassungsfähig an die Cloud-Gegebenheiten

Dynamisch orchestrier & automatisierbar

Sicherheitsrichtlinien zentral kontrollierbar

Zentrale Detektion & Reporting Funktion

Applikationszentriertes Deployment

Hybrid Multi-Cloud Readiness

Erforderliche Security Controls und Charakteristika

Auswirkungen der agilen App-Entwicklung, DevOps und Multi-Cloud



Erforderliche Sicherheitskontrollen und Charakteristiken

Auswirkungen der agilen App-Entwicklung, DevOps und Multi-Cloud


Bereit fürdie hybrideMulti-Cloud

Applikationszentriertes Deployment

Agile Entwicklungsprozesse in Kombination mit DevOps-Ansätzen erfordern, dass die WAF- / Authentisierungsfunktionen innerhalb der Anwendungsumgebung bereitgestellt werden und den Lebenszyklus und die Lieferkette gemeinsam nutzen.

Dynamische Orchestrierung und Automatisierung

Die dynamische Skalierung ist für viele Applikationen eine wichtige Voraussetzung. Neue Releases müssen von einem zentralen Punkt, wenn möglich automatisiert, bereitgestellt werden können.

Unternehmensweite Sicherheitsrichtlinien

Security verlangt nach einer gemeinsamen Basis für alle Anwendungen, unabhängig von der verteilten Architektur und der bereitgestellten Anwendungsinfrastruktur.

Zentrale Erkennung und Reporting

Eine zentrale Erkennung von Angriffen und Reporting sind im Kontext der wachsenden Cyber-Sicherheitsrisiken von enormer Bedeutung. Nicht alle aktuellen SIEM-basierten Lösungen sind in der Lage mit dynamisch orchestrierten Anwendungen umzugehen.


Container “Runtime”

App

Central ConfigurationManagement

Platform Deployment

Kunde

USP Service

3 Der Application Ownerinstanziert WAF mit Baseline Policy und passt das Verhalten durch Parametrisierung an. Platform Build

1

3

1

3

SaaS stellt Container in der Registry zur Verfügung.

Container Registry

1

2 Sicherheitsspezialisten erstellen Basis-Konfiguration

Security Service Owner Application Owner

2

SaaS User Interface

Private oder öffentliche Clouds

Wir kombinieren zentrale Kontrolle mit der Agilität von DevOps.

Web Access Management – einsatzbereit für hybride Multi-Cloud Architekturen



Container “Runtime”

Kunde

Security Service Owner Application Owner

Log Environment

USP Service

SaaS User Interface

Private oder öffentliche Cloud

4 Alle Instanzen schreiben ihre Logs in einen Log Collection Service, der für das Reporting verwendet wird.

4


Web Access Management – einsatzbereit für hybride Multi-Cloud Architekturen



App

App

Log Environment

Security Service Owner

Application Owner

ContainerContainerContainer

Container

Config

USP SaaS User Interface

Application User

Identity and Authentication Service

Containerized Log EnvironmentModern Cloud Native Application

USP Service


Docker, Kubernetes/OpenShift basiertes Sample Deployment


© COPYRIGHT UNITED SECURITY PROVIDERS© COPYRIGHT UNITED SECURITY PROVIDERS

USP Connect® - SaaS Client Interface

Echtzeit-Sicht auf erkannte Anomalien und verhinderte Angriffe


© COPYRIGHT UNITED SECURITY PROVIDERS© COPYRIGHT UNITED SECURITY PROVIDERS

USP Connect® - SaaS Client Interface

Leistungsstarke Analyse- und Reportingfunktionen



Zusammenfassung


Setzen Sie auf die hybride Multicloud und Containerisierung – insbesondere wenn Ihr Unternehmen Individual-Software erstellt und/oder verwendet.

Bewerten Sie Ihre aktuelle Situation und Ihre Fähigkeiten anhand grundlegender Trends und beobachten Sie Ausfälle aufgrund von Fehlkonfigurationen.

Setzen Sie unternehmensweite Sicherheitsrichtlinien durch.

Verwenden Sie applikationszentrierte und dynamisch orchestrierbare Security Controls, zur Unterstützung agiler Entwicklungsprozesse und DevOps.

Die Erkennung von Angriffen und der Einsatz von Reporting-Funktionalitäten sind geschäftskritisch und heute trotz vorhandener Onboard-Tools oftmals zu wenig verlässlich.

United Security Providers bietet Web Access Management Lösungen und Dienstleistungen für die hybride Multi-Cloud. Nehmen Sie gerne Kontakt mit uns auf, um mehr zu erfahren und Ihre spezifischen Herausforderungen mit einem unserer Experten zu besprechen.

applikationszentrierte security: endgültiger ...€¦ · exxo it-services freudenberg it fujitsu...

Documents