Post on 18-Oct-2020
© COPYRIGHT UNITED SECURITY PROVIDERS
CEO, United Security Providers AG
Michael Liebi
Ad Vantis Innovation AG
Prof. em. Dr. Hannes Lubich
Applikationszentrierte Security: endgültiger Kontrollverlust oder Paradigma-Wechsel?
© COPYRIGHT UNITED SECURITY PROVIDERS
Ausgangslage
Nov. 2019 Swisscom Dialog Arena
Die aktuellen Trends in der Informatik verändern unser Verständnis der ICT-Dienst-Erbringung grundlegend.
Dies eröffnet neue Chancen, birgt aber auch neue Risiken.
Nur sehr agile Unternehmen werden diese Herausforderung langfristig meistern.
© COPYRIGHT UNITED SECURITY PROVIDERS
Trend 1: immer feinkörnigere Virtualisierung
Nov. 2019 Swisscom Dialog Arena
Phase 1
Bezug extern betriebener ICT-Infrastrukturen (Infrastruktur, Plattform oder Software «as a service»)
Phase 2
Bezug extern betriebener Applikationen «as a service»
Phase 3
Bezug extern betriebener Einzelfunktionen in «Containern», die agil erstellt, konfiguriert, ausgebreitet und betrieben werden
© COPYRIGHT UNITED SECURITY PROVIDERS
Trend 2: immer komplexere ICT-Auslagerung
Nov. 2019 Swisscom Dialog Arena
Phase 1
Outsourcing/Outtasking von ICT-Leistungen
Phase 2
Nutzung hoch-standardisierter Dienst-angebote aus der Cloud
Phase 3
Nutzung agil / dynamisch konfigurierter, hybrider «Multi»-Clouds
© COPYRIGHT UNITED SECURITY PROVIDERS
Feinkörnige Virtualisierung
Auslagerung in komplexe Cloud-
Strukturen
+
KontrollverlustErhöhte Komplexität
Erschwerte FehlersucheZusätzliche Kosten und Risiken
+
Verbesserte «time to market»Konzentration auf Kernkompetenz
KostenflexibilisierungZusätzliche Chancen
Die Kombination beider Trends
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Alles ist digital, dynamisch, #DataDrivenbzw. zukünftig selbstlernend und in Echtzeit selbstkonfigurierend
Definition der nötigen «Leitplanken»/Kontrollen
Echtzeit-Überwachung, Ereignis-Bewertung und komplexe Korrelation
Fähigkeit zur Risiko-Erkennung und raschen Reaktion
Erhöhte Agilität der gesamten Wertschöpfungskette (d.h. ICT plus Prozesse, Organisation, Kunden, Partner/ Lieferanten usw.)
Abkehr von statischen Regelwerken & Kontrollen hin zu kontinuierlicher Chancen-/Risiken-Bewertung
Selbstlernende Erkennungs- und Bewertungsmechanismen
Integration, z.B. «DevSecOps»
Die ICT Wertschöpfung basiert auf komplexen, feinkörnigen, ausgelager-ten Dienstelementen, die gegenüber den Anwendern als integrale Dienste erscheinen müssen
Bewirtschaftung von komplexen «multitenancy» Vertrauensketten (Identitäten, Rollen, Rechte usw.)
Aufrechterhaltung der Governance und nötigen Beweisketten
Neue Heraus-forderungen
Benötigte Antworten der Cyber Security
Handlungsfelder
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Digital Transformation
New Digital Technologies Used Everywhere
Engage theCustomers
Empower theEmployees
Automate theBusiness
Transform theProducts
Data DATA DATA DATA
Manage Identities
Manage Auth
Manage Access
Ensure Cyber Protection
ConnectedThings
APIs Apps Portals
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Abacus
Abraxas
Accenture
All for One Steeb
Allgeier
Arkadin
Atos
Avanade
Avaya
Bechtle Steffen
Bedag Informatik
Bexio
Bison ITS
BT
Cancom/Pironet
Capgemini
CGI
Cisco
Cognizant
Comarch
Computacenter
Dimension Data
Dimension Data (NTT)
DXC Technology
Econis
EveryWare
Exact Software
Exxo IT-Services
Freudenberg IT
Fujitsu
HPE
Infoniqa
Itris
Lake Solutions
Leuchter IT
Mitel
MTF
Myfactory
Netcloud
Netstream
NFON
Nissen & Velten
Orange Business
PlusServer
Power Solutions
ProCloud
Rackspace
ReachOut
SAP
SmartIT
Sunrise
Swisscom
T-Systems
UMB
UPC
Verizon
VSHN
Wagner
Weclapp
YoungSolutions
Lokale Anbieter: z.B. 60+ Schweizer Cloud Provider
Private Cloud, Public Cloud, Multi Cloud?
plus ein zunehmend überfüllter ‘Club of Unicorns’
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
«Hybrid Multi-Cloud» Architekturen werden «Eine Cloud für alles» Strategien ersetzen
Unternehmen streben danach, das Beste aus ihren Digitalisierungsinvestitionen herauszuholen und entscheiden sich deshalb zunehmend für Public und Private Clouds, indem sie einen «Hybrid Multicloud»-Ansatz verfolgen.
© COPYRIGHT UNITED SECURITY PROVIDERS
37B
Container Downloads
15K
Job Inserate auf LinkedIn
3.5M
DockerisierteApps
200+
Aktive Docker User Groups
Docker Momentum
Zahlen vom März 2018, anlässlich des 5. Geburtstags von Docker
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Welche Technologievorteile werden Sie Ihrer Meinung nach erzielen?
• Verbesserte Isolierung
• Konsistente Umgebung von der Entwicklung bis zur Produktion
• Bessere Skalierbarkeit und Automatisierung
• Entwickler können ihre bevorzugten Toolsetsverwenden.
• Leichtgewichtig, geringer Ressourcenbedarf als VMs
• Einfache Versionskontrolle, einfache Updates
• Verbesserte Portabilität
Welche Geschäftsvorteile werden Sie Ihrer Meinung nach erzielen?
37B
Container Downloads
15K
Job Inserate auf LinkedIn
3.5M
DockerisierteApps
200+
Aktive Docker User Groups
Docker Momentum
Zahlen von März 2018, anlässlich des 5. Geburtstags von Docker
Containerisierung transformiert die IT
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Welche Technologievorteile werden Sie Ihrer Meinung nach erzielen?
• Verbesserte Isolierung
• Konsistente Umgebung von der Entwicklung bis zum Produkt
• Bessere Skalierbarkeit und Automatisierung
• Entwickler können ihre bevorzugten Toolsetsverwenden.
• Leichtgewichtig / Geringer Platzbedarf als VMs
• Einfache Versionskontrolle, einfache Updates
• Verbesserte Portabilität
37B
Container Downloads
15K
Job Inserate auf LinkedIn
3.5M
DockerisierteApps
200+
Aktive Docker User Groups
Docker Momentum
Zahlen vom März 2018, anlässlich des 5. Geburtstags von Docker
Containerisierung transformiert die IT
Welche Geschäftsvorteile werden Sie Ihrer Meinung nach erzielen?
Nov. 2019 Swisscom Dialog Arena
Die Containerisierung bietet Vorteile für Business und Technologie.
© COPYRIGHT UNITED SECURITY PROVIDERS
Anwendungs-Entwickler
• Kürzere Zyklen, kontinuierliche Lieferung• Verwendung passender (Open Source)
Komponenten• Freie Wahl der Cloud
Schneller! Dynamisch!
Infrastruktur-Betreiber
• Begegnen den Schwachstellen und Bedrohungen kummuliert
• Haben schon heute mit den heterogenen Services und Konfigurationsspezifika der unterschiedlicher Umgebungen zu kämpfen
• Benötigen Transparenz und Kontrolle in definierten Umgebungen und Prozessen
Bedacht! Kontrolliert!
Kultureller Gap zwischen Anwendungs-Entwickler und Infrastruktur-Betreiber
© COPYRIGHT UNITED SECURITY PROVIDERS
9 von 10 Sicherheitsexperten sind über die Cloud-Sicherheit besorgt
Nov. 2019 Swisscom Dialog Arena
MISCONFIGURATION
CONSISTENT POLICIES ACROSS ENVIRONMENTS CONSISTENT POLICIES ACROSS ENVIRONMENTS
MISCONFIGURATION
© COPYRIGHT UNITED SECURITY PROVIDERS
9 von 10 Sicherheitsexperten sind über die Cloud-Sicherheit besorgt
Nov. 2019 Swisscom Dialog Arena
Bedenken Sie: 9 von 10 Sicherheitsexperten sind über die Cloud-Sicherheit besorgt.
Top drei Herausforderungen
• Datenverlust und Sicherheits-Lecks• Bedrohungen des Datenschutzes• Verletzung der Vertraulichkeit
Grösste Gefahren bei der Cloud Security
• Fehlkonfiguration von Cloud-Plattformen• Unzureichende Zugangskontrolle• Unsichere Schnittstellen (APIs und Dienste)
Das verursacht Kopfschmerzen
• Fehlende Sicht auf die Infrastruktursicherheit• Durchsetzung einheitlicher Sicherheitsrichtlinien in Cloud
und lokalen Umgebungen• Komformität
Und der Trend zu Agilität and DevOps schürt das Feuer zusätzlich.
Anwendungs-Entwickler
• Kürzere Zyklen, schnellere Entwicklung• Container und Mikroservices (Cisco prognostiziert, dass
im Jahr 2021 95% der neuen Apps containerbasiert sind).
• Wollen eine breite Palette von Open-Source-Komponenten einsetzen
• Möchten die freie Wahl der Cloud
Infrastruktur-Betreiber
• Begegnen grösseren Sicherheitsbedrohungen und Schwachstellen
• Haben bereits mit den heterogenen App-Services und Richtlinien der unterschiedlichen Clouds zu kämpfen
• Benötigen Transparenz und Kontrolle in definierten Umgebungen und Prozessen
Um die Herausforderungen zu meistern, müssen Unternehmen eine zentrale Kontrolle, in Kombination mit der Agilität von DevOps, ermöglichen. Legacy-Sicherheitstools tragen jedoch nur sehr begrenzt zu diesem Ziel bei.
© COPYRIGHT UNITED SECURITY PROVIDERS
App Delivery und WAF-Service, zum schlüsselfertigen Schutz vor OWASP Top10 Risks.
Adaptive & vielseitige Authentsierungs-Services mit domänen-übergreifenden SSO-Funktionen, die sich in bestehende IDMs und IAM-Prozesse integrieren lassen.
FederationFunktionalitäten, mit denen sich cloud-basierte (oder von Partnern kontrollierte) Apps und Identities integrieren lassen.
API-steuerbares, Client IDM und Benutzerverzeichnis mit Provisionierung, Self-Services und Admin-Delegation.
FEDERATE IDENTITYACCESSWAF
Reverse ProxySSL TerminationWeb SecuritySession Management
User AuthenticationTrust ElevationSSO, Token ServicesUser Self Services
SP, IDP, IDP BrokerRP, OP
3rd Parties IDs StoreProvisioningUser Admin
Erforderliche Security Controls
Nov. 2019 Swisscom Dialog Arena
Containerized Virtual Appliances Hardware HybridAnpassungsfähig an den Stand und die Strategie der Cloud
© COPYRIGHT UNITED SECURITY PROVIDERS
Anpassungsfähig an die Cloud-Gegebenheiten
Dynamisch orchestrier & automatisierbar
Sicherheitsrichtlinien zentral kontrollierbar
Zentrale Detektion & Reporting Funktion
Applikationszentriertes Deployment
Hybrid Multi-Cloud Readiness
Erforderliche Security Controls und Charakteristika
Auswirkungen der agilen App-Entwicklung, DevOps und Multi-Cloud
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Erforderliche Sicherheitskontrollen und Charakteristiken
Auswirkungen der agilen App-Entwicklung, DevOps und Multi-Cloud
Nov. 2019 Swisscom Dialog Arena
Bereit fürdie hybrideMulti-Cloud
Applikationszentriertes Deployment
Agile Entwicklungsprozesse in Kombination mit DevOps-Ansätzen erfordern, dass die WAF- / Authentisierungsfunktionen innerhalb der Anwendungsumgebung bereitgestellt werden und den Lebenszyklus und die Lieferkette gemeinsam nutzen.
Dynamische Orchestrierung und Automatisierung
Die dynamische Skalierung ist für viele Applikationen eine wichtige Voraussetzung. Neue Releases müssen von einem zentralen Punkt, wenn möglich automatisiert, bereitgestellt werden können.
Unternehmensweite Sicherheitsrichtlinien
Security verlangt nach einer gemeinsamen Basis für alle Anwendungen, unabhängig von der verteilten Architektur und der bereitgestellten Anwendungsinfrastruktur.
Zentrale Erkennung und Reporting
Eine zentrale Erkennung von Angriffen und Reporting sind im Kontext der wachsenden Cyber-Sicherheitsrisiken von enormer Bedeutung. Nicht alle aktuellen SIEM-basierten Lösungen sind in der Lage mit dynamisch orchestrierten Anwendungen umzugehen.
© COPYRIGHT UNITED SECURITY PROVIDERS
Container “Runtime”
App
Central ConfigurationManagement
Platform Deployment
Kunde
USP Service
3 Der Application Ownerinstanziert WAF mit Baseline Policy und passt das Verhalten durch Parametrisierung an. Platform Build
1
3
1
3
SaaS stellt Container in der Registry zur Verfügung.
Container Registry
1
2 Sicherheitsspezialisten erstellen Basis-Konfiguration
Security Service Owner Application Owner
2
SaaS User Interface
Private oder öffentliche Clouds
Wir kombinieren zentrale Kontrolle mit der Agilität von DevOps.
Web Access Management – einsatzbereit für hybride Multi-Cloud Architekturen
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Container “Runtime”
Kunde
Security Service Owner Application Owner
Log Environment
USP Service
SaaS User Interface
Private oder öffentliche Cloud
4 Alle Instanzen schreiben ihre Logs in einen Log Collection Service, der für das Reporting verwendet wird.
4
Wir kombinieren zentrale Kontrolle mit der Agilität von DevOps.
Web Access Management – einsatzbereit für hybride Multi-Cloud Architekturen
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
App
App
Log Environment
Security Service Owner
Application Owner
ContainerContainerContainer
Container
Config
USP SaaS User Interface
Application User
Identity and Authentication Service
Containerized Log EnvironmentModern Cloud Native Application
USP Service
Wir kombinieren zentrale Kontrolle mit der Agilität von DevOps.
Docker, Kubernetes/OpenShift basiertes Sample Deployment
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS© COPYRIGHT UNITED SECURITY PROVIDERS
USP Connect® - SaaS Client Interface
Echtzeit-Sicht auf erkannte Anomalien und verhinderte Angriffe
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS© COPYRIGHT UNITED SECURITY PROVIDERS
USP Connect® - SaaS Client Interface
Leistungsstarke Analyse- und Reportingfunktionen
Nov. 2019 Swisscom Dialog Arena
© COPYRIGHT UNITED SECURITY PROVIDERS
Zusammenfassung
Nov. 2019 Swisscom Dialog Arena
Setzen Sie auf die hybride Multicloud und Containerisierung – insbesondere wenn Ihr Unternehmen Individual-Software erstellt und/oder verwendet.
Bewerten Sie Ihre aktuelle Situation und Ihre Fähigkeiten anhand grundlegender Trends und beobachten Sie Ausfälle aufgrund von Fehlkonfigurationen.
Setzen Sie unternehmensweite Sicherheitsrichtlinien durch.
Verwenden Sie applikationszentrierte und dynamisch orchestrierbare Security Controls, zur Unterstützung agiler Entwicklungsprozesse und DevOps.
Die Erkennung von Angriffen und der Einsatz von Reporting-Funktionalitäten sind geschäftskritisch und heute trotz vorhandener Onboard-Tools oftmals zu wenig verlässlich.
United Security Providers bietet Web Access Management Lösungen und Dienstleistungen für die hybride Multi-Cloud. Nehmen Sie gerne Kontakt mit uns auf, um mehr zu erfahren und Ihre spezifischen Herausforderungen mit einem unserer Experten zu besprechen.