Ein Gastbeitrag von Robert Blank, Regional Sales Manager DACH bei AlgoSec
Einer der Schlüsselsätze des meistverkauften Sachbuches der 90er Jahre „Men Are from Mars, Women Are from Venus“ von John Gray lautet: „Wenn ich meine eigenen Bedürfnisse auf Kosten meines Partners erfüllen will, werden wir sicher Unglück, Ressentiments und Konflikte erleben.“ Dieses Zitat könnte sich genauso gut auf die Beziehung zwischen den IT-Sicherheitsteams und den Teams für die Anwendungsbereitstellung beziehen: Sie sind wichtige Geschäftspartner und müssen zusammenarbeiten, damit das Unternehmen reibungslos funktioniert. Doch allzu oft ist ihre Beziehung von mangelnder Kommunikation und ungenügender Kooperation geprägt. Um dieses Problem zu lösen, müssen Unternehmen sorgfältig prüfen, was jede Seite der Partnerschaft von der anderen will und dann, wie diese Bedürfnisse erfüllt werden können.
Aber was erwartet die IT-Sicherheit von der Anwendungsbereitstellung?
Im Großen und Ganzen gibt es drei wesentliche Forderungen:
- Klarheit der Geschäftsanforderungen. Die Sicherheitsteams möchten, dass die Anwendungsbereitstellung sagt, was sie in Bezug auf Sicherheit sowie Konnektivität benötigt und dass sie im Voraus informiert werden. Entscheidend ist, dass diese Anforderungen in einer Sprache kommuniziert werden, die das Team verstehen und umsetzen kann.
- Sichtbarkeit der Geschäftsanforderungen. Die IT-Sicherheit will verstehen, woran die Anwendungsbereitstellung arbeitet, wie diese Anwendungen miteinander kommunizieren müssen und welche Netzwerk- und Datenrisiken bestehen.
- Wann immer Änderungen am Netzwerkzugang vorgenommen oder beantragt werden, möchte das Sicherheitsteam eine Versicherung von drei Punkten. Erstens, dass die angeforderte Konnektivität sicher ist. Zweitens, dass diese Konnektivität compliance-konform ist. Drittens, dass eine gute Governance unterstützt wird, mit einer klaren Aufzeichnung darüber, wer was, wann, wo und warum getan hat, sodass ein Auditor bei einem Audit unverzüglich Antworten auf all diese Fragen erhalten kann.
Und was erwartet die Anwendungsbereitstellung von der IT-Sicherheit?
Auf der anderen Seite gibt es drei wichtige Dinge, die das Team für die Anwendungsbereitstellung von der IT-Sicherheit erwartet:
- Agilität. Das Team möchte schnell arbeiten und möchte, dass die IT-Sicherheit ihre Anfragen unverzüglich erledigt. Doch oft dauert es Tage oder sogar Wochen, bis wichtige Netzwerkänderungen vom Sicherheitsteam bearbeitet werden können.
- Verfügbarkeit von Diensten. Nichts frustriert die Anwendungsbereitstellung mehr als wenn das Sicherheitsteam einen Ausfall verursacht, z. B. aufgrund einer Fehlkonfiguration der Firewall – sie wollen, dass ihre Anwendungen rund um die Uhr einsatzbereit sind.
- Impact-Analyse vor der Durchführung von Änderungen. Wenn sich eine Änderung der Sicherheitsrichtlinien verlangsamt oder eine Anwendung heruntergefahren wird, möchte das Delivery-Team dies im Voraus wissen, damit es die entsprechenden Anpassungen vornehmen kann.
Wie man die Erwartungen erfüllt
Leider bekommt, wie in jeder Beziehung, keine Seite immer genau das, was sie will. Eine der häufigsten Beschwerden des Sicherheitsteams über die eintreffenden Anfragen der Anwendungsbereitstellung kombiniert mangelnde Klarheit mit unrealistischen Erwartungen: Es ist nicht bekannt, welche Ports für welche IPs benötigt werden, aber das Team braucht sie bis gestern?
Und für die Gegenseite ist es nicht besser. Die häufigsten Beschwerden beziehen sich ihrerseits auf wiederholte Verfügbarkeitsprobleme: „Die neue Firewall-Richtlinie blockiert meine Anwendung bereits zum dritten Mal in dieser Woche!“
Die Statistiken zur Unterstützung dieser Beschwerden reichen von der Untersuchung von Gartner, dass 99 Prozent der Firewall-Lücken das Ergebnis von Fehlkonfigurationen sind, bis hin zu den Umfrageergebnissen von AlgoSec, bei denen festgestellt wurde, dass acht von zehn Unternehmen aufgrund einer falsch konfigurierten Firewall-Regel bereits einen Ausfall erlitten haben.
Es ist wichtig, dass Unternehmen daran arbeiten, Sicherheit und Anwendungsbereitstellung näher zusammenzubringen. Aber wie kann dies erreicht werden?
- Vollständige, kontinuierliche Transparenz. Unternehmen müssen in der Lage sein, ihre Anforderungen an die Konnektivität in ihrer gesamten Netzwerkumgebung zu sehen, sowohl on-premises als auch in der Cloud. Dies erfordert eine vollständige Transparenz, damit beide Teams sehen können, was das andere hat und was benötigt wird. So wird sichergestellt, dass alles jederzeit aktiv, betriebsbereit und sicher ist. Dies ermöglicht es den Teams, die gleiche Sprache zu sprechen und eine Terminologie zu verwenden, die ihre Bedürfnisse und Anliegen effektiv an die andere Seite vermittelt.
- Die IT-Sicherheitsteams müssen die Automatisierung berücksichtigen, wenn es um Change-Prozesse geht. Dies ist der einzige Weg, um die Genauigkeit und Agilität zu gewährleisten, die von der Anwendungsbereitstellung gefordert wird. Da Cloud- und SDN-Umgebungen mittlerweile weit verbreitet sind, wird es umso notwendiger.
- Proaktive Risikoanalyse. IT-Sicherheitsteams müssen einen proaktiven Ansatz für die Risikoanalyse wählen. Dabei müssen sie Risiken aus der Perspektive der Geschäftsanwendungen analysieren und verständlich an alle Beteiligten kommunizieren.
- Kontinuierliche Compliance. Wenn Netzwerkänderungen mit rasanter Geschwindigkeit stattfinden, funktioniert ein zwölfmonatiger Compliance-Zyklus nicht mehr. Daher müssen Organisationen bei jeder einzelnen Netzwerkänderung proaktiv die Einhaltung der geltenden Vorschriften sicherstellen.
Das Security Policy Management unterstützt all diese Anforderungen und liefert eine zuverlässige Übersicht des Netzwerkes in Verbindung mit einer intelligenten Automatisierung, die für eine effektive Zusammenarbeit zwischen Sicherheit und Anwendungsbereitstellung von entscheidender Bedeutung ist. Es gibt wirklich keinen Grund für die beiden Teams, nicht in Harmonie zusammenzuleben.