Technology Guide

Anleitung für eine dauerhafte Sicherheit

IT- und Internetsicherheit sollten kontinuierlich und integriert sein. Aber wie soll das vonstattengehen? Wir haben dazu ein paar Ideen, die Sie aber nicht als diskrete oder lineare Schritte erachten sollten. Sie können sie sich als eine Reihe miteinander verbundener Zahnräder vorstellen: Wenn sich eins dreht, rotieren auch die anderen, will heißen, alle Teile Ihres Sicherheitsplans sollten synchronisiert sein.

Security guide diagram

Planen

Sicherheit beginnt schon in der Designphase.

Entwickeln Sie Workflows zur Nutzung kollaborativer und verantwortlicher Prozesse durch Ihre Teams, um Sicherheit zu definieren und in den IT-Lifecycle zu implementieren. Wenn Sie Technologien mit hochgradig vernetzten Umgebungen (z. B. Clouds) verwenden, beachten Sie, dass diese zum Teil von Drittanbietern kontrolliert werden.

Hier einige Fragen für Ihre Team-Besprechung: Welche Typen von Sicherheitskontrollen und -prozessen benötigen wir für unsere Umgebung? Wie wird die Zusammenarbeit mit Anbietern aussehen? Wie lassen sich wichtige Sicherheitsentscheidungen zwischen Teams kommunizieren?

Design phase of security

Erste Schritte:

  • Definieren von Sicherheitskontrollen und -anforderungen
  • Gemeinsame Entwicklung von Sicherheitsprozessen
  • Kontinuierliche Information Ihrer Teams über Sicherheitsstandards
  • Eindeutige Kommunikationsmethoden für den Fall der Fälle, eine möglichst gleichzeitige Implementierung von Sicherheitslösungen über den gesamten IT-Lifecycle hinweg
  • Auswahl von vertrauenswürdigen Anbietern und eine eindeutige Definition von Zuständigkeiten

Build

Entwicklung von Sicherheit mithilfe von Automatisierung

DevOps nutzt Automatisierung zur Ausführung einer kontinuierlichen Feedback-Schleife über alle Phasen des Anwendungs-Lifecycles. Das Konzept der „integrierten Sicherheit“ macht sich diese Praxis zu eigen, selbst wenn Sie kein DevOps-Unternehmen sind. Automatische Sicherheitsprüfungen und -prozesse bieten verschiedene Vorteile: Sie helfen, Duplizierung und menschliche Fehler zu vermeiden, bieten ein zentrales Dashboard für die Entscheidungsfindung und vereinfachen die Suche nach bzw. die schnelle Bekämpfung von Bedrohungen. Sie können mithilfe von Automatisierung auch Sicherheitsportale bauen, die bei einem Fehlschlagen der Sicherheitsprüfung Implementierungen automatisch unterbinden.

Dadurch alleine aber lassen sich Fehlalarme und interne Bedrohungen nicht vermeiden. Die Automatisierung muss so verwaltet werden, dass sie sich an die spezifischen Bedürfnisse Ihrer Teams anpassen lässt. Wenn Sie Sicherheit in Infrastrukturen, Anwendungen und Prozesse integrieren, prüfen Sie, ob damit auch Kontrollen für die Verhinderung unbefugter Änderungen und Zugriffsversuche implementiert wurden. Verwenden Sie, wo möglich, immer eine Verschlüsselung.

Build phase of security

Erste Schritte:

  • Automatisierung und Integration von Sicherheitsprüfungen in alle Build- und Entwicklungsprozesse
  • Nutzung von Sicherheitsportalen zur Einleitung geeigneter Maßnahmen, d. h. entweder die Zulassung oder Verhinderung von Implementierungen
  • Einsatz kryptographischer Algorithmen und Schnittstellen
  • Auswahl einer Infrastruktur mit Protokollierungs- und Überwachungsfunktionen

Ausführen

Ausführung auf Plattformen mit erhöhter Sicherheit

Traditionelle, auf manuellen Prozessen basierende Schutzmodelle sind mit den Sicherheitsprozessen neuer verteilter Technologien wie der Cloud nicht kompatibel. Diese Technologien und die sie unterstützenden Prozesses setzen überwiegend auf Automatisierung. Egal ob Sie physische, Private oder Public Clouds verwenden, Sie sollten in jedem Fall sicherstellen, dass Ihre Infrastruktur mit schützenden, sicherheitsverstärkten Plattformen eingebettet ist, die für alle Umgebungen verwendet werden.

Run phase of security

Erste Schritte:

  • Automatisierung und Integration von Sicherheitsprüfungen in alle Build- und Entwicklungsprozesse
  • Infrastrukturplattformen sollten integriert, nutzbar, für alle Plattformen einheitlich und mit einer breiten Vielfalt an Prozessen kompatibel sein.

Verwalten

Verwaltung von Konfiguration, Nutzern und Zugriff

Schaffen Sie sich unbedingt Verwaltungs-Tools an, mit denen die Automatisierung von Änderungen der Sicherheitskonfiguration, Audits und Abhilfemaßnahmen gehandhabt wird. Indem Sie Rollen frühzeitig und gemäß Ihren spezifischen Sicherheitsbedürfnissen zuweisen, gewährleisten Sie eine robuste Sicherheitsumgebung. So sollten Zugriffsberechtigungen nur denjenigen Personen zugewiesen werden, die sie für ihre Arbeit benötigen. Diese Maßnahme wird möglicherweise schon bei der Anstellung von Mitarbeitern durchgeführt. Aktualisieren Sie Nutzerdaten regelmäßig und auch beim Austritt von Mitarbeitern.

Einige weitere Überlegungen: Verfügen Sie über Tools zur Analyse bzw. Eindämmung von Vorfällen? Wie verwenden Sie Automatisierung zur Anwendung, Prüfung und Korrektur von Richtlinien für Sicherheit und regulatorische Compliance über Workloads hinweg?

Manage phase of security

Erste Schritte:

  • Verwaltung eines stets aktuellen Katalogs an Assets sowie die Überwachung von Zugriff und Nutzung
  • Implementierung einer Verwaltungslösung für eine kontinuierliche proaktive Sicherheit für alle Aspekte Ihrer Infrastruktur, egal ob für physische, virtuelle, Private oder Public Clouds
  • Aktive Verwaltung von Nutzern mithilfe eines Dashboards zur Überwachung aller Komponenten des IT-Lifecycles
  • Definition von Profilen mit den erforderlichen Sicherheitskontrollen
  • Automatisierung der Compliance für diese Sicherheitsprofile
  • Verwaltung von Infrastruktur und Sicherheit in Form von Code (besonders nützlich bei wiederholbaren, teilbaren und verifizierbaren Infrastrukturen und für einfache Compliance-Audits)

Anpassen

Anpassung an eine sich verändernde Umgebung

Die Sicherheitslandschaft ist ständigen Veränderungen unterworfen. Sie sollten Ihre Strategie dahingehend deshalb regelmäßig mit entsprechenden Konfigurationen Ihrer Governance- und Audit-Anforderungen anpassen. Sie müssen wissen, wo und von wem Sicherheitswarnungen und -ratschläge zur Verfügung gestellt werden und diese Infos für die Anpassung verwenden. Aber auch die besten Sicherheitsstrategien können die ständig neu auftretenden Angriffsvektoren nicht verhindern. Eine umgehende Reaktion auf Sicherheitsbedrohungen ist die beste Schutzmaßnahme für Ihr Unternehmen und mit einem Partner an Ihrer Seite, der Sie bei der Patch-Installation, Fehlerbehebung und Wiederherstellung unterstützt, gehen Sie zeitnah wieder zum regulären Betrieb über.

Adapt phase of security

Erste Schritte:

  • Anpassung mithilfe von Analytik und Automatisierung: Überarbeitung, Aktualisierung und Problembehebung bei Veränderungen der Umgebung
  • Aktualisierung der Zugriffsberechtigungen bei Änderungen von Rollen und Zuständigkeiten
  • Kontinuierliche Erfüllung von Governance und Audit-Anforderungen
  • Überarbeitung und Aktualisierung von Richtlinien und Governance bei Veränderungen der Umgebung

Sicherheitsressourcen

Entwickler

Red Hat Developer Program

Erfahren Sie alles über eine sichere Programmierung − mit Red Hat Developer Program.

Training

Red Hat Security: Linux in Physical, Virtual, and Cloud (RH415)

Verwalten Sie Risiken und erfüllen Sie Compliance-Anforderungen mit unseren Sicherheitstechnologien.

Support

Technical Account Management

Werden Sie Partner eines technischen Beraters, der Risikobewertungen und Übertragbarkeitsanalysen bietet.

Weitere Informationen über den Sicherheitsansatz von Red Hat