Neue Funktion zur Erkennung von Sicherheitsrisiken in Cloud-Ressourcenkonfigurationen, bevor diese bereitgestellt werden
FOSTER CITY, USA – Qualys, Inc. (NASDAQ: QLYS), Pionier und führender Anbieter für cloudbasierte IT-, Sicherheits- und Compliance-Lösungen, gibt bekannt, dass er seine CloudView-App um Infrastructure as Code (IaC)-Scans erweitert. Dies ermöglicht die Erkennung und Behebung von Fehlkonfigurationen in einem frühen Stadium des Entwicklungszyklus und beseitigt damit Risiken in der Produktionsumgebung.
Wie im (ISC)2 Cloud Security Report 2021 dargelegt, ist die größte Gefahr für Sicherheitsexperten bei öffentlichen Clouds die fehlerhafte Konfiguration von Ressourcen. Fehlkonfigurationen werden oft erst nach der Bereitstellung entdeckt, wodurch Unternehmen eine viel größere Angriffsfläche haben und anfälliger für Angriffe sind. Unternehmen nutzen zunehmend IaC, um Cloud-native Anwendungen zu implementieren und ihre Cloud-Infrastruktur bereitzustellen. Daher ist eine möglichst frühe Berücksichtigung von Sicherheitsaspekten wichtig, um Fehlkonfigurationen bereits in IaC Templates zu erkennen und zu beheben. Die Erkennung von Sicherheitsproblemen zu einem früheren Zeitpunkt im Entwicklungszyklus beschleunigt die sichere Bereitstellung von Anwendungen und fördert eine bessere Zusammenarbeit zwischen DevOps- und Sicherheitsteams. Noch wichtiger ist, dass dadurch bessere Sicherheitsrichtlinien in der Produktionsumgebung durchgesetzt werden.
„Führungskräfte im Bereich Sicherheits- und Risikomanagement, die die Sicherheit der Cloud-Infrastruktur verwalten, sollten sichere Umgebungen schaffen, um Entwicklerinnovationen zu erleichtern, indem sie intelligente Sicherheitstools in die Bereitstellungspipelines integrieren (z. B. Infrastructure-as-Code [IaC]-Scanning), um Risiken frühzeitig zu erkennen und vor unsicheren Workloads zu warnen, bevor diese bereitgestellt werden.“ Gartner®, Cool Vendors™ in Cloud Security Posture Management, Tom Croll, Neil MacDonald, Mark Wah, Prateek Bhajanka, 9. Juni 2021.
Qualys CloudView ermöglicht eine vollständige Transparenz und Sicherheitskontrolle von Public-Cloud-Workloads und bewertet jetzt IaC-Templates auf Fehlkonfigurationen. IaC-Bewertungen werden in den Softwareentwicklungszyklus integriert, um sicherzustellen, dass nur Code bereitgestellt wird, der den Sicherheitsstandards des Unternehmens entspricht. Der Cloud-Plattform-Ansatz von Qualys bietet vollständige Transparenz, indem er Laufzeit- und Build-Time-Posture sowie die Drift zwischen beiden in einer einzigen Ansicht zusammenführt.
Die neuen Funktionen ermöglichen Unternehmen:
Bewertung der Sicherheitslage in der gesamten CI/CD-Pipeline
Unternehmen können nun die Sicherheitslage zu einem früheren Zeitpunkt im Entwicklungszyklus bewerten und so das Sicherheitsrisiko nach der Bereitstellung drastisch reduzieren. CloudView IaC Security bietet eine Befehlszeilenschnittstelle zur lokalen Durchführung einer Sicherheitsbewertung. Um die Bereitstellung zu unterbinden, wenn Fehlkonfigurationen entdeckt werden, sind auch Plug-ins für Quellcode-Repositories beim Check-in und CI/CD-Plattformen verfügbar.
Einhaltung bewährter Sicherheitsverfahren
CloudView IaC Security macht es Unternehmen leicht, die von den Anbietern von Cloud-Plattformen propagierten Best Practices für die Sicherheit zu übernehmen. CloudView IaC Security unterstützt beliebte IaC-Sprachen wie Terraform, CloudFormation (CF) und Azure Resource Manager (ARM). Außerdem werden Konfigurationen anhand von Tausenden von bewährten Sicherheitspraktiken geprüft, die von Amazon Web Services, Azure, Google Cloud Platform und Standardgremien wie dem Center for Internet Security vorgegeben werden. Darüber hinaus liefert CloudView automatisch Vorschläge zur Abhilfe, wenn eine nicht konforme Konfiguration entdeckt wird.
Sicherstellung der Einhaltung von Branchenvorgaben
Mit CloudView IaC Security können Unternehmen die Einhaltung von mehr als 20 Branchenvorschriften wie PCI, HIPAA und NIST 800-53 sicherstellen. Das reduziert die Belastung für die DevOps-Sicherheitsteams und sorgt für einen optimierten Prozess bei vorgeschriebenen Compliance-Audits.
„Mit der Erweiterung von CloudView mit der IaC-Bewertung erweitert Qualys seine Cloud Security Posture Management (CSPM)-Lösung, um Shift-Left-Anwendungsfälle zu handhaben“, sagt Sumedh Thakar, Präsident und CEO von Qualys. „Durch die Nutzung der Qualys Cloud-Plattform und ihrer integrierten Apps können Kunden nun die Sicherheitsautomatisierung in alle Phasen des Lebenszyklus ihrer Anwendungen einführen und so über ein einheitliches Dashboard vollständige Transparenz sowohl für die Laufzeit als auch für die Build-Time gewährleisten.“
Verfügbarkeit
Qualys CloudView mit IaC Security befindet sich derzeit in der Beta-Phase und wird im Lauf dieses Jahres verfügbar sein. Wenn Sie an dem Beta-Programm teilnehmen möchten, melden Sie sich bitte unter qualys.com/iac-security-betaan. Um mehr zu erfahren, lesen Sie den IaC Security Blog.
Gartner-Haftungsausschluss:
GARTNER und COOL VENDORS sind eingetragene Marken und Dienstleistungsmarken von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und werden hier mit Genehmigung verwendet. Alle Rechte vorbehalten.
Weiterführende Links
- Lesen Sie den Blog Infrastructure as Code
- Details zur Qualys Cloud-Plattform
- Mehr zu den Qualys Cloud Agents
- Folgen Sie Qualys auf LinkedIn und Twitter
Über Qualys
Qualys, Inc. (NASDAQ: QLYS) ist ein Pionier und führender Anbieter für bahnbrechende, cloudbasierte IT-, Sicherheits- und Compliance-Lösungen. Das Unternehmen hat mehr als 19.000 aktive Kunden in über 130 Ländern, darunter die Mehrzahl der Forbes Global 100- und Fortune 100-Firmen. Qualys hilft Unternehmen, ihre Sicherheits- und Compliance-Lösungen zu optimieren und in einer einzigen Plattform zu konsolidieren, Initiativen zur digitalen Transformation grundlegend sicher zu gestalten und dadurch höhere Agilität, bessere Geschäftsergebnisse und bedeutende Kostensenkungen zu erzielen.
Die native Qualys Cloud-Plattform und ihre integrierten Cloudanwendungen liefern eine 360-Grad-Sicht, die lokale Systeme, Endpunkte, Clouds, Container und mobile Umgebungen umspannt. So bietet die Plattform Unternehmen die nötige Übersicht, um wichtige Sicherheitserkenntnisse laufend auszuwerten und das gesamte Spektrum von Auditing, Compliance und Schutz für ihre IT-Systeme und Webanwendungen zu automatisieren. 1999 als einer der ersten SaaS-Sicherheitsanbieter gegründet, hat sich Qualys einen großen, beeindruckenden Kundenstamm erworben. Das Unternehmen unterhält strategische Partnerschaften mit führenden Cloud-Anbietern wie Amazon Web Services, Microsoft Azure und der Google Cloud Platform sowie renommierten Managed Service Providern und Consulting-Firmen, darunter Accenture, BT, Cognizant Technology Solutions, Deutsche Telekom, DXC Technology, Fujitsu, HCL Technologies, IBM, Infosys, NTT, Optiv, SecureWorks, Tata Communications, Verizon und Wipro. Zudem ist Qualys ein Gründungsmitglied der Cloud Security Alliance. Für weitere Informationen besuchen Sie bitte www.qualys.com.
Qualys und das Logo von Qualys sind geschützte Marken von Qualys, Inc. Alle anderen Produkte oder Namen können Marken der jeweiligen Unternehmen sein.
Gartner unterstützt keinen der in seinen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und rät Technologieanwendern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Die Forschungspublikationen von Gartner geben die Meinung der Forschungsorganisation von Gartner wieder und sollten nicht als Tatsachenbehauptungen ausgelegt werden. Gartner lehnt jede ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Studie ab, einschließlich jeglicher Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck.