Worauf es bei sicheren Cloud-Anwendungen ankommt

Die Möglichkeiten, die sich heute bei der nativen Cloud-Entwicklung von Anwendungen bieten, sind durchaus verlockend. Zum einen die zumindest theoretisch einheitliche Architektur, auf der die Applikation läuft. Andererseits die schnellere Fertigstellung die Bereitstellung, die so realisierbar wird. Bei all dem darf das Thema Security nicht aus dem Fokus geraten. Denn die genannten Vorteile können auch schnell zu einem Sicherheitsproblem werden, wenn das Thema Security nicht von Anfang an mitgedacht wird.

Nun bedeutet ja die Realisierung sicherer Anwendungen weit mehr, als einfach nur sicheren Code auf die Beine zu stellen. Da muss von Beginn an der Datenschutz – Stichwort DSGVO – berücksichtigt werden. Und zudem kommunizieren Applikationen über APIs (Application Programming Interface) untereinander sowie mit Diensten und vertrauen selbstredend auch Zertifikaten.

All dies will berücksichtigt werden. Und dabei ist es übergeordnet wichtig, dass auch außerhalb der Security-Teams – beispielsweise in der Geschäftsführung – dieses Sicherheitsbewusstsein verstanden wird.

Im Gespräch mit ComputerWeekly.de erläutert Adrian Ludwig die Herausforderungen, die mit der Bereitstellung von sicheren Cloud-Anwendungen einhergehen. Adrian Ludwig ist der Chief Information Security Officer (CISO) bei Atlassian. Er ist für das Sicherheitsteam und die Sicherheitspraktiken von Atlassian verantwortlich. Atlassian ist ein Anbieter von Entwickler-Tools für agiles Projektmanagement wie etwa Jira, Confluence und Bitbucket.

Was sind die typischen allgemeinen Herausforderungen bei der Entwicklung sicherer Cloud-Apps?

Adrian Ludwig: Das Problem teile ich tendenziell in zwei getrennte Bereiche auf: einerseits das Management der zugrundeliegenden Infrastruktur (beispielsweise die Cloud) und andererseits die Anwendungsentwicklung (zum Beispiel DevOps). Zwar haben Unternehmen in den letzten Jahren große Fortschritte gemacht, was beide Bereiche betrifft, jedoch sehen sie sich auch weiterhin Herausforderungen bei der Entwicklung sicherer Cloud-Anwendungen gegenüber.

Was die Infrastruktur angeht, so konnte die Cloud tatsächlich etwas zur Lösung von Problemen innerhalb traditionelleren Architekturen beitragen: Die Cloud sorgt für eine (relativ) konsistente Architektur, wodurch Plattform- und Servicevielfalt sowie die Komplexität in Sachen Infrastruktur-Management (Patches etc.) wesentlich besser zu bewältigen sind.

Container- und Orchestrierungstechnologien machen es uns viel leichter, die Konsistenz unserer Infrastruktur zu validieren. Solange diese Konsistenz durch Patches oder der richtigen Konfigurierung sichergestellt werden kann, dann kann auch die umfassende Sicherheit gewährleistet werden.

Andersherum werden Sicherheitslücken wesentlich schneller zu einem Problem, wenn Patches ausbleiben oder mangelhafte Konfigurationen erfolgen. Damit die Sicherheit also nicht auf der Strecke bleibt, braucht es für die automatisierte Erstellung, das Testing sowie die Bereitstellung von Infrastruktur und Anwendungen in der Cloud aus CI/CD-Pipelines den systematischen Einsatz von Sicherheits-Tools und -methoden.

Durch die Cloud-native Anwendungsentwicklung können wir Geschwindigkeit, Flexibilität und Qualität des Entwicklungsprozesses erhöhen. Doch vor allem durch die schnellere Entwicklung und Bereitstellung von Anwendungen steigt das Sicherheitsrisiko, weshalb es unerlässlich ist, dass IT-Security-Teams und -Tools in demselben Tempo arbeiten wie DevOps-Teams. DevOps- und Sicherheitsexperten müssen hierfür näher zusammenrücken, damit der Sicherheitsaspekt über den gesamten Entwicklungszyklus hinweg gewährleistet werden kann.

Datenschutz und insbesondere der Schutz personenbezogener Daten spielen hierzulande eine große Rolle. Mit welchen Herausforderungen ist beispielsweise die Umsetzung von GDPR/DSGVO in Ihrem Fall verbunden und wie wurde das gelöst?

Ludwig: Die Daten und Privatsphäre unserer Kunden und deren Anwender zu schützen, hat für uns höchste Priorität. Eine Herausforderung für uns besteht darin, Services und Produkte zu entwickeln und bereitzustellen, die einen vollumfänglichen Schutz für alle Parteien gegen eine breite Bedrohungspalette gewährleisten.

Zum einen haben wir verstärkt in unsere Sicherheitsstrategie und relevante Sicherheitszertifizierungen nach SOC und ISO investiert, um sicherzustellen, dass unser Ansatz mit gesetzlichen Vorgaben wie die DSGVO konform ist. Außerdem haben wir unsere Kundenverträge entsprechend der regulatorischen Vorgaben aktualisiert. Darüber hinaus wird jeder Atlassian-Mitarbeiter, der mit persönlichen Kundendaten arbeitet, im sicheren Umgang geschult.

Damit unsere Kunden auch selbst DSGVO-konform vorgehen können, sorgen wir innerhalb unserer Cloud-Infrastruktur unter anderem für die Verschlüsselung der Daten – sowohl während der Lagerung als auch beim Transfer. Außerdem stellen wir eine fortschrittliche Bedrohungserkennung bereit. Wir übernehmen ebenso Prozesse, die ansonsten auf die internen Sicherheitsteams zurückfallen und ihnen kostbare Zeit nehmen würden, wie zum Beispiel Serverkonfigurationen, Patching sowie Incident Detection und Response.

In Sachen Datenverwaltung helfen wir, Daten sicher zu replizieren und notwendige Backups zu erstellen. Sobald die Daten eines Kunden beziehungsweise Endnutzers gelöscht oder an einen anderen Ort übertragen werden müssen, können unsere Kunden mithilfe der entsprechenden Atlassian-Tools dies sicher und einfach umzusetzen.

Welche Rolle spielen bei der Sicherheit von Cloud-Anwendungen die Themen APIs, Identitäten und Zertifikate?

Ludwig: Anwendungen kommunizieren über APIs miteinander. Sie definieren, wozu eine Anwendung grundsätzlich in der Lage ist und auf welche Weise sie mit anderen Anwendungen interagieren können. Um diese Interaktionen zu vereinfachen, haben wir ein User-Identity-Modell entwickelt, das alle relevanten Kundeninformationen in einem einzigen Atlassian-Account bündelt, wodurch dieser zur Single Source of Truth (SSOT) wird. Jedes Konto ist mit einer individuellen Atlassian-ID verknüpft. Anwendungen werden durch Zertifikate validiert, die ihren Entwicklern ausgestellt werden.

Daher ist es entscheidend, dass APIs so konzipiert werden, so dass die Anwender selbst einstellen können, wer auf welche Weise Zugriff auf ihre Daten hat. Für uns ist es wichtig, dass jeder Nutzer autonom darüber entscheiden kann, was er in seinem Profil öffentlich angeben und für andere einsehbar machen möchte. Über die APIs wollen wir sicherstellen, dass sowohl Marketplace-Anwendungen als auch die dahinterstehenden Anbieter keinen Zugang zu jenen Kundeninformationen erhalten, die Nutzer nicht preisgeben wollen.

Was erwarten Kunden im Bereich SaaS in Sachen Sicherheit und Datenschutz? Was wird standardmäßig vorausgesetzt?

Ludwig: Je nach Kunde, dessen Marktaktivitäten und wie sich seine eigene Sicherheits- und Datenschutzstrategie ausprägen, können die Kundenanforderungen an die IT-Sicherheit variieren.

Obwohl es grundlegende gesetzliche Vorgaben wie die DSGVO gibt, versuchen viele unserer Kunden immer noch herauszufinden, wie sich die Nutzung der Cloud in ihre Risikomanagement- und Sicherheitsstrategie einfügt. Oftmals erhalten wir einzelne, explizite Anfragen wie zum Einsatz von Datenverschlüsselung oder einer Zwei-Faktor-Authentifizierung. Jedoch entsprang diese Art von Anfragen oftmals nicht aus einer umfassenden Sicherheitsstrategie. Wir unterstützen Unternehmen im Rahmen unserer technischen Fähigkeiten und helfen ihnen zu verstehen, wie diese Fähigkeiten in ihre bestehende Sicherheitsarchitektur passen.

Darüber hinaus verfügen wir über hochklassige Zertifizierungen wie SOC, ISO und FedRAMP, um sicherzustellen, dass unser Sicherheitsansatz den gängigen Branchenpraktiken entspricht.

Immer mehr Unternehmen interessieren sich für Bug-Bounty-Programme zur Verbesserung der Sicherheit. Welche Erfahrungen haben Sie mit Ihren Initiativen gemacht, welche Herausforderungen bestanden dabei?

Ludwig: Unserer Meinung nach unterstützen uns Hacker in unseren Sicherheitsbestrebungen. Mithilfe von Bug Bounties erlangen wir nicht nur eine unabhängige Bestätigung unseres Sicherheitsprogramms, sondern sind ebenfalls in der Lage, weltweit auf zahlreiche IT-Security-Talente zurückzugreifen. Wir konnten mit unserem Bug-Bounty-Programm sehr gute Ergebnisse erzielen. Auch andere Unternehmen, die ähnliche Programme implementiert haben, haben ebenfalls gute Ergebnisse verzeichnen können.

Seit 2017 besteht eine offizielle Partnerschaft zwischen Atlassian und Bugcrowd, einer Security-Plattform, die sogenannte White-Hat Hacker oder Ethical Hacker mit Unternehmen vernetzt, die auf der Suche nach talentierten Hackern sind. Die Unternehmen bezahlen sie für das Auffinden von Bugs, Schwachstellen und potenziellen Exploits auf deren Webseiten, Services oder Lösungen. Wir arbeiten mit BugCrowd zusammen, um die Hacking-Experten und ihre Fähigkeiten über unser Bug-Programm an unsere Marketplace-Partner zu vermitteln bieten wir das Bug-Bounty-Programm an. Damit wollen wir Atlassian-Kunden einen noch höheren Grad an Sicherheit garantieren.

Wie hat sich aus Ihrer Sicht das Thema Security im Zusammenspiel mit anderen Abteilungen wie beispielsweise Entwicklung allgemein entwickelt? Welche Rolle spielen heute Themen wie „Security by design“ und „Privacy by design“?

Ludwig: Wie bestimmte Teams mit dem Thema Sicherheit umgehen, hängt oftmals von der Hierarchie, der Berichterstattungsstruktur sowie den Prioritäten eines Unternehmens ab. Bei Atlassian ist unsere Security-Abteilung dem Chief Technology Officer unterstellt, was bedeutet, dass die Sicherheit über den gesamten Softwareentwicklungsprozess hinweg bedacht wird.

Wir sind der Meinung, dass Sicherheit und Zuverlässigkeit bei allem, was wir tun, immer an erster Stelle stehen müssen. Das macht meine Arbeit als CISO sehr viel einfacher, denn so kann ich meiner Hauptaufgabe zu erklären, wie man Sicherheit effektiv umsetzt, gezielt nachkommen. Dieser Security-first-Ansatz fördert die Beziehung zwischen Sicherheits- und Entwickler-Teams. Dadurch übernehme ich vielmehr die Rolle als Berater und nicht als strenger Schuldirektor.

„Wie bestimmte Teams mit dem Thema Sicherheit umgehen, hängt oftmals von der Hierarchie, der Berichterstattungsstruktur sowie den Prioritäten eines Unternehmens ab.“

Adrian Ludwig, Atlassian

Auf eine Frage mussten wir schon früh eine Antwort finden: Wie können wir eine starke Sicherheitsstrategie in einer modernen Entwicklungsumgebung etablieren, die sowohl mit der Geschwindigkeit moderner Softwareentwicklung mithält als auch stete (und ebenso schnelle) Veränderungen unterstütz?

Prinzipiell bevorzugen es Security- und IT-Experten, die Kontrolle über sämtliche Prozesse zu behalten – inklusive der Überprüfung des gesamten Codes, bevor er live geht. Doch um mit der Schnelllebigkeit moderner Unternehmen wie des unseren mithalten zu können, haben wir uns eine „Find it and fix it“-Mentalität angeeignet, die es uns erlaubt, Schwachstellen so schnell wie möglich zu erkennen und zu beheben.

Dadurch können wir Software-Updates und Patch-Zyklen schneller bereitstellen – unsere Kunden können darauf vertrauen, dass bei Atlassian jede Schwachstelle sofort identifiziert und behoben wird.

Welche Entwicklungen sehen Sie bei Unternehmen allgemein? Hat sich die Kommunikation zwischen Security-Teams und den anderen Abteilungen sowie der Geschäftsführung verändert? Welche Rollen spielen Transparenz und Themen wie Incident Response?

Ludwig: In den letzten zehn Jahren – insbesondere in den letzten fünf Jahren – habe ich in den meisten Unternehmen enorme Fortschritte in Sachen Sicherheitsbewusstsein auf Führungs- und Vorstandsebene erleben dürfen. Auch wenn für die Führungspersönlichkeiten bei Atlassian die Datensicherheit schon immer an erster Stelle steht, so war die Zeit für viele Unternehmen mit einer einschlägigen Veränderung verbunden.

Die daraus resultierenden Herausforderungen rührten vor allem aus der Tatsache, dass Unternehmen zum Beispiel aus der Finanzbranche, dem Einzelhandel oder sogar Regierungsbehörden ihre Daten bisher nicht ausreichend geschützt haben. Die Folge: Heute ist es für Security-Teams wesentlich einfacher, Sicherheitskonzepte zu erklären, die notwendigen Investitionen zu rechtfertigen und somit die Unterstützung des Vorstandes zu erhalten.

Aufgrund der verstärkten Transparenz (die zum Teil durch obligatorische Offenlegungspflichten bedingt ist) erhalten Sicherheitsteams nun auch einen einfacheren Einblick in die Arbeit und die Methoden anderer Teams und können leichter voneinander lernen.

In den letzten 25 Jahren zählten jene zu den besten Sicherheitsteams der Welt, die offen über ihren eigenen Tellerrand geschaut haben und ihre Erfahrungen – sowohl gute als auch schlechte – offen miteinander geteilt haben. Unser langfristiges Ziel bei Atlassian ist es, sämtliche Prozesse, die mit dem Thema IT- und Anwendungssicherheit zusammenhängen, vollkommen transparent zu machen. Dazu gehören unter anderem auch unsere Strategien, mit denen wir den Schutz von Kundendaten gewährleisten können. Aus diesem Grund haben wir alle wichtigen Informationen zusammengefasst, die zum Beispiel unter https://www.atlassian.com/trust zu finden sind.