Red Hat SummitSicherheit
Das Sicherheitskonzept von Red Hat für die Hybrid Cloud
Mit den Technologien von Red Hat können Sie Anwendungen in einer Hybrid Cloud viel sicherer entwickeln und bereitstellen. Unsere Sicherheitskonzept umfasst mehrere Schichten mit tiefgehendem Schutz (Defense-in-Depth-Strategie). Dieses Konzept bietet den Kunden im gesamten Infrastruktur- und Anwendungs-Stack sowie im gesamten Lifecycle mehr Sicherheit.
Durch Container und Hybrid Cloud-Technologien sind die Sicherheitsanforderungen bedeutend komplexer geworden. Für Sicherheitsteams wird es immer schwieriger, mit den sich ändernden Risiken, Compliance-Anforderungen, Tools und Architekturänderungen Schritt zu halten, die sich aus diesen Technologien ergeben.
Traditionelle perimeterbasierte Netzwerksicherheit allein reicht nicht mehr aus. Die Sicherheitsteams müssen sich daher ein neues Konzept einfallen lassen und moderne Prinzipien der Zero-Trust-Architektur integrieren, wie Mikrosegmentierung, kontinuierliche Benutzervalidierung und das Verhindern von Lateral Movements.
Sicherheitsmaßnahmen müssen in jede Schicht des Anwendungs- und Infrastruktur-Stacks implementiert werden. Die Autorisierung zwischen Personen und Systemen sowie zwischen Systemen muss explizit erfolgen, statt vorausgesetzt zu werden. Personen und Prozesse müssen aufeinander abgestimmt werden, damit Sicherheitsaspekte schon früh kontinuierlich überwacht und automatisch gesteuert werden können.
Das Sicherheits- und Compliance-Konzept von Red Hat
Defense-in-Depth für die Hybrid Cloud
Für die Sicherheit moderner Hybrid Clouds sind mehrere Sicherheitsschichten im gesamten Infrastruktur-Stack und in Anwendungs-Lifecycles erforderlich. Für eine Infrastruktur, die Ihrer vollständigen Kontrolle unterliegt (wie Rechenzentren), wird in Red Hat Software eine Defense-in-Depth-Strategie mit standardmäßigen Zero-Trust-Richtlinien priorisiert. Und in unserem umfangreichen Partnernetzwerk werden diese Sicherheitsprinzipien auf Umgebungen ausgeweitet, die nicht Ihrer vollständigen Kontrolle unterliegen (wie Public Clouds).
Aufgrund dieser Defense-in-Depth-Strategie sind Sie nicht mehr von einer einzigen Sicherheitsschicht abhängig. Stattdessen ist die Sicherheitsstrategie in Personen, Prozesse und Technologien integriert – von Betriebssystemen über Container-Plattformen und Automatisierungstools bis hin zu Software-as-a-Service (SaaS) sowie als Teil der Cloud-Services.
Schutz vor Supply Chain-Angriffen in der Hybrid Cloud
Sie sind nur so sicher wie das schwächste Glied in Ihrer Kette. In einer Hybrid Cloud-Umgebung ist das schwächste Glied allerdings manchmal gar nicht so leicht zu erkennen. Seit der Einführung von Linux® arbeitet Red Hat mit Upstream-Open-Source-Communities zusammen, um unternehmensgerechte Software zu entwickeln, die gehärtet, getestet, geprüft und sicher verteilt wird.
Die Plattform ist branchenweit anerkannt, und Red Hat bemüht sich sehr um die Sicherheitsakkreditierung seiner Lösungen. Dadurch kann ich Anwendungen viel einfacher in die Produktion bringen, da ich den Sicherheitsteams meiner Kunden zeigen kann, was Red Hat in der Upstream-Entwicklung bereits erreicht hat.
Sicherheit in Open Source-Software
Sicherheit in Stack und Lifecycle
Sicherheit ist keine Kleinigkeit, die nachträglich per Add-on hinzugefügt wird. Sie muss in den gesamten Infrastruktur- und Anwendungs-Stack sowie in den Lifecycle integriert werden.
Mit der Unterstützung von Red Hat können Sie Sicherheitsmaßnahmen in die Anwendungen integrieren und Anwendungen auf einer gehärteten Plattform bereitstellen. Auf dieser Plattform lassen sich Infrastruktur und Anwendungen verwalten, automatisieren und anpassen, wenn sich die Sicherheits- und Compliance-Anforderungen ändern.
- Design: Identifikation der Sicherheitsanforderungen und Governance-Modelle
- Build: Sicherheit, die von Anfang an in den Anwendungs-Stack und Lifecycle integriert wird (und nicht nachträglich per Add-on hinzugefügt wird)
- Ausführung: Deployment auf bewährten Plattformen mit optimierten Sicherheitsfunktionen
- Management und Automatisierung: Automatisierung der Infrastruktur und Anwendungsentwicklung für mehr Sicherheit und Compliance
- Anpassung: Überarbeitung, Aktualisierung und Problembehebung bei veränderten Sicherheitsanforderungen
Eine Basis für DevSecOps
Eine mehrschichtige Defense-in-Depth-Strategie für den gesamten Infrastruktur- und Anwendungs-Stack sowie den Lifecycle ist sowohl für die Sicherheit in der Hybrid Cloud als auch für DevSecOps unverzichtbar.
DevOps verbindet die Disziplinen Softwareentwicklung und IT-Operations. Vorausschauende DevOps-Teams erkannten, wie wichtig es ist, die Sicherheit in dieses DevOps-Modell zu integrieren. So entstand DevSecOps.
DevSecOps bedeutet, dass die Sicherheit der Anwendungen und der Infrastruktur von Anfang an beachtet werden muss. Es bedeutet ebenfalls, dass einige Sicherheitsvorgänge automatisiert werden müssen, damit der DevOps-Workflow nicht zu langsam wird.
Die Entwicklungsteams müssen also bereits bei der Programmierung an die Sicherheit denken. Damit dieser Prozess erfolgreich ist, müssen die Sicherheitsteams transparent arbeiten, einander Feedback geben und einander mitteilen, wenn Bedrohungen vorliegen.
Case Study
Eine Cloud-Lösung für stark regulierte Branchen
Der Cloud-Serviceanbieter ORock Technologies brauchte einen Technologiepartner, um eine sichere unternehmensfähige Open Source-Lösung in der Cloud für Behörden und stark regulierte Branchen zu entwickeln. Red Hat hatte bereits gemeinsam mit ORock zusammengearbeitet, um eine Cloud-Umgebung auf Red Hat® OpenStack® Platform und einen Container-Service auf Red Hat OpenShift® zu entwickeln und um die Akkreditierung für das Federal Risk and Authorization Management Program (FedRAMP) zu erlangen.
Sicherheit in Red Hat Angeboten
Das marktführende unternehmensfähige Betriebssystem Linux, das für Hunderte von Clouds und Tausende von Anbietern zertifiziert ist. Sie können mit den integrierten Tools Compliance gewährleisten und die Sicherheit verbessern.
Eine Kubernetes-Containerplattform für Unternehmen, auf der Operationen für den gesamten Stack automatisiert werden, um Hybrid- und Multi-Clouds noch einfacher verwalten zu können. Sie können die Container-Sicherheit mit integrierten Funktionen für Richtlinien und Kontrollen verbessern.
Eine Plattform für die Implementierung konsistenter unternehmensweiter Automatisierungsprozesse, egal, in welcher Phase der Automatisierung Sie sich befinden. Durch Automatisierung können Sie Risiken verringern, die durch fehlerhafte Konfigurationen und manuelle Fehler entstehen. Außerdem können Sie Ihre Sicherheitsoperationen optimieren und Sicherheitsfunktionen mithilfe von Zugriffskontrolle, Protokollen und Auditing von Anfang an in den Prozess einbetten.
| Design | Build | Ausführung | Management | Anpassung |
|---|---|---|---|---|
