Suche

Deutsch

Deutsch

Wählen Sie eine Sprache

Anmelden Konto

Anmelden / Registrieren Konto

Websites

Technology Guide

Warum Red Hat für kontinuierliche IT-Sicherheit?

IT- und Internetsicherheit sollten kontinuierlich und integriert sein. Wie kann das funktionieren? Wir haben dazu einige Ideen, die Sie aber nicht als einzelne oder lineare Schritte sehen sollten. Sie können sie sich als eine Reihe miteinander verbundener Zahnräder vorstellen: Wenn sich eins dreht, rotieren auch die anderen. Das bedeutet, dass sich alle Teile Ihres Sicherheitsplans synchron bewegen.

Security guide diagram

Design

Sicherheit beginnt mit dem Design

Entwerfen Sie Workflows mit kollaborativen und nachvollziehbaren Prozessen in all Ihren Teams, um Sicherheit im gesamten IT-Lifecycle zu definieren und zu implementieren. Wenn Sie Technologien in stark vernetzten Umgebungen (z. B. Clouds) verwenden, beachten Sie, dass diese zum Teil von Drittanbietern kontrolliert werden.

Hier einige Fragen für Ihre Team-Besprechung: Welche Arten von Sicherheitskontrollen und -prozessen benötigen wir für unsere Umgebung? Wie wird die Zusammenarbeit mit Anbietern aussehen? Wie lassen sich wichtige Sicherheitsentscheidungen zwischen Teams kommunizieren?

Design phase of security

Erste Schritte:

  • Sicherheitskontrollen und -anforderungen definieren
  • Sicherheitsprozesse gemeinsam entwickeln
  • Teams kontinuierlich über Sicherheitsstandards informieren
  • Eindeutig kommunizieren, was im Fall der Fälle geschehen soll, damit Sicherheitslösungen im gesamten IT-Lifecycle möglichst gleichzeitig implementiert werden können
  • Vertrauenswürdige Anbieter auswählen und eindeutige Zuständigkeiten definieren

Aufbau

Aufbau einer integrierten Sicherheit durch Automatisierung

DevOps nutzt automatisierte Prozesse, um in allen Phasen des Anwendungs-Lifecycles eine kontinuierliche Feedback-Schleife zu implementieren. Das Konzept der „integrierten Sicherheit“ setzt diese Praxis um, selbst wenn Sie kein DevOps-Unternehmen sind. Automatische Sicherheitsprüfungen und -prozesse bieten verschiedene Vorteile: Sie helfen, Duplizierung und menschliche Fehler zu vermeiden, bieten ein zentrales Dashboard zur Entscheidungsfindung, vereinfachen die Suche nach Bedrohungen und sorgen für eine schnelle Bekämpfung. Mithilfe von Automatisierung können Sie auch Sicherheits-Gates erstellen, die eine Bereitstellung automatisch stoppen, sobald eine Sicherheitsprüfung fehlschlägt.

Dadurch alleine aber lassen sich Fehlalarme und interne Bedrohungen jedoch nicht vermeiden. Automatisierung muss so gestaltet werden, dass sie sich an die spezifischen Bedürfnisse Ihrer Teams anpassen lässt. Während Sie Sicherheitsmaßnahmen in Ihre Infrastruktur, Anwendungen und Prozesse integrieren, sollten Sie stets prüfen, ob geeignete Kontrollen vorliegen, die unbefugte Änderungen und Zugriffsversuche verhindern. Verwenden Sie Verschlüsselung, wo immer es möglich ist.

Build phase of security

Erste Schritte:

  • Sicherheitsprüfungen in alle Build- und Bereitstellungsprozessen integrieren und automatisieren
  • Mit Sicherheits-Gates geeignete Maßnahmen einleiten, also entweder Bereitstellung zulassen oder verhindern
  • Kryptographische Algorithmen und Schnittstellen verwenden
  • Infrastruktur auswählen, die über Protokollierungs- und Überwachungsfunktionen verfügt

Ausführung

Ausführung auf sicheren Plattformen

Traditionelle Sicherheitsmodelle, die auf manuellen Prozessen basieren, sind mit den Sicherheitsprozessen neuer verteilter Technologien wie der Cloud nicht kompatibel. Diese neuen Technologien und die Prozesse, die sie unterstützen, hängen stark von Automatisierung ab. Unabhängig davon, ob Sie physische, Private oder Public Clouds verwenden, sollten Sie in jedem Fall sicherstellen, dass Ihre Infrastruktur in robuste Sicherheitsplattformen eingebettet ist, die in all Ihren Umgebungen verwendet werden.

Run phase of security

Erste Schritte:

  • Sicherheitsprüfungen in allen Build- und Bereitstellungsprozessen automatisieren/integrieren
  • Infrastrukturplattformen sollten integriert, einsetzbar, für alle Plattformen einheitlich und mit diversen Prozessen kompatibel sein.

Management

Konfigurations-, Nutzer- und Zugriffsmanagement

Investieren Sie unbedingt in Management-Tools, die Änderungen der Sicherheitskonfiguration, Audits und Abhilfemaßnahmen automatisch managen. Indem Sie Rollen frühzeitig und gemäß Ihren spezifischen Sicherheitsbedürfnissen zuweisen, sorgen Sie für eine robuste und sichere Umgebung. Zugriffsberechtigungen sollten nur denjenigen Personen zugewiesen werden, die sie auch wirklich für ihre Arbeit benötigen. Darum sollten Sie sich bereits bei der Neueinstellung eines Mitarbeiter kümmern. Aktualisieren Sie die Nutzerdaten regelmäßig und auch beim Austritt von Mitarbeitern.

Einige weitere Überlegungen: Verfügen Sie über Tools, mit denen Vorfälle analysiert und gemindert werden können? Wie setzen Sie automatisierte Prozesse ein, um Richtlinien zur Einhaltung von Bestimmungen in all Ihren Workloads anzuwenden, zu auditieren und zu korrigieren?

Manage phase of security

Erste Schritte:

  • Katalog der Assets auf dem neuesten Stand halten und Zugriff und Nutzung überwachen
  • Managementlösung bereitstellen, die für kontinuierliche proaktive Sicherheit sorgt und alle Aspekte Ihrer Infrastruktur – physische, virtuelle, Private oder Public Clouds – abdeckt
  • Nutzer aktiv mithilfe eines Dashboards managen, auf dem alle Komponenten des IT-Lifecycles überwacht werden können
  • Profile mit den erforderlichen Sicherheitskontrollen definieren
  • Compliance für diese Sicherheitsprofile automatisieren
  • Infrastruktur und Sicherheit in Form von Code verwalten (besonders nützlich bei wiederholbaren, teilbaren und verifizierbaren Infrastrukturen; Vereinfachung von Compliance-Audits)

Anpassung

Anpassung an eine Umgebung im Wandel

Die Sicherheitslandschaft von heute ändert sich schnell. Sie sollten daher regelmäßige Revisionen planen, die parallel zu den Änderungen der Governance- und Audit-Anforderungen stattfinden. Sie müssen wissen, wo Sicherheitswarnungen auftreten und wie Sie Lösungen finden. Diese Informationen müssen Sie für die Anpassung nutzen. Aber auch die besten Sicherheitsstrategien können neu auftretende Angriffsvektoren nicht verhindern. Eine schnelle Reaktion auf Sicherheitsbedrohungen ist der beste Schutz für Ihr Unternehmen. Mit einem Partner an Ihrer Seite, der Sie bei der Patch-Installation, Fehlerbehebung und Wiederherstellung unterstützt, können Sie schnellstmöglich wieder zur Tagesordnung übergehen.

Adapt phase of security

Erste Schritte:

  • Anpassung durch Analysen und Automatisierung: die Umgebung revidieren, aktualisieren und Probleme lösen, während sich die Umgebung ändert
  • Zugriffsrechte aktualisieren, während sich die Rollen und Zuständigkeiten ändern
  • Auf dem neuesten Stand der Governance- und Audit-Anforderungen bleiben
  • Richtlinien und Governance revidieren und aktualisieren, während sich die Umgebung ändert

Sicherheitsressourcen

Entwickler

Red Hat Developer Program

Erfahren Sie mehr über eine sichere Programmierung − mit Red Hat Developer Program.

Training

Red Hat Security: Linux in Physical, Virtual, and Cloud (RH415)

Mit unseren Sicherheitstechnologien können Sie Risiken managen und Compliance-Anforderungen erfüllen.

Support

Technical Account Management

Arbeiten Sie mit einem technischen Berater zusammen, der Risikobewertungen und Tragfähigkeitsprüfungen durchführt.

Erfahren Sie mehr über den Sicherheitsansatz von Red Hat