Fehlkonfigurationen und ungepatchte Bugs sind die wichtigsten Sicherheitsvorfälle bei Cloud Natives

Cyber Security News

Mehr als die Hälfte der Unternehmen hat einen Sicherheitsvorfall aufgrund einer Fehlkonfiguration oder einer bekannten Schwachstelle in ihren Cloud Native-Anwendungen erlitten, so eine neue Studie von Snyk.

Der erste “State of Cloud Native Application Security Report” des Open-Source-Sicherheitsunternehmens zeigt, dass die Akzeptanz von Cloud-Native-Techniken sprunghaft ansteigt: Über 78 Prozent der Produktions-Workloads werden mittlerweile als Container oder serverlose Anwendungen bereitgestellt.

Dies birgt jedoch auch Risiken: 60 % der Entwickler haben laut dem Bericht seit der Umstellung auf Cloud Native erhöhte Sicherheitsbedenken.

Fehlkonfiguration (45 %) und bekannte ungepatchte Bugs (38 %) waren die am häufigsten erlebten Sicherheitsvorfälle, wobei Fehlkonfiguration (58 %) und unsichere APIs (52 %) die Liste der Bedenken der Befragten anführten.

“Cloud-native Plattformen, die automatisierte Tools verwenden, sind auf Anmeldeinformationen wie Geheimnisse und API-Tokens angewiesen, um zu funktionieren, was einen dezentraleren Ansatz für die Verwaltung dieser Zugriffe erfordert”, so der Bericht. “Die Notwendigkeit einer effektiven Verwaltung dieser Art von Artefakten ist ein wesentliches Unterscheidungsmerkmal zur eher zentralisierten Vor-Cloud-Ära und ein wichtiger Bereich, der den Betriebsteams bei der Transformation ihrer Infrastruktur Sorgen bereitet.”

Auf der positiven Seite zeigte Snyk auch, dass sich Entwickler zunehmend mit Fragen der Cybersicherheit beschäftigen.

Obwohl weniger als 10 % der Befragten in Sicherheitsfunktionen angaben, dass Entwickler für die Sicherheit ihrer Cloud-nativen Umgebung und Anwendungen verantwortlich sind, behaupteten über 36 % der Entwickler, dass sie es sind.

Automatisierung ist der Schlüssel zur Verbesserung der Sicherheit während des Entwicklungslebenszyklus, so der Bericht weiter.

Mit vollständig automatisierten Pipelines scheinen regelmäßige Sicherheitstests einfacher zu werden. Bei den Befragten mit einem hohen Automatisierungsgrad der Bereitstellung war die Wahrscheinlichkeit mehr als doppelt so hoch, dass sie Sicherheitstests an allen Punkten des Softwareentwicklungslebenszyklus eingeführt haben, als bei denen ohne Automatisierung.

Außerdem waren fast 70 % dieser Befragten mit einem hohen Grad an Bereitstellungsautomatisierung in der Lage, ihre Sicherheit täglich oder häufiger zu testen. Das ist laut Snyk 17 Mal mehr als die Befragten, die keine Bereitstellungsautomatisierung hatten.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com