Qualys erweitert seine Cloudview-App um Infrastructure-as-Code-Scans. Dies ermöglicht die Erkennung und Behebung von Fehlkonfigurationen in einem frühen Stadium des Entwicklungszyklus und beseitigt damit Risiken in der Produktionsumgebung.
Wie im „(ISC)2 Cloud Security Report 2021″ dargelegt, ist die größte Gefahr für Sicherheitsexperten bei öffentlichen Clouds die fehlerhafte Konfiguration von Ressourcen. Fehlkonfigurationen werden oft erst nach der Bereitstellung entdeckt, wodurch Unternehmen eine viel größere Angriffsfläche haben und anfälliger für Angriffe sind.
Unternehmen nutzen zunehmend Infrastructure-as-Code (IaC), um Cloud-native Anwendungen zu implementieren und ihre Cloud-Infrastruktur bereitzustellen. Daher ist eine möglichst frühe Berücksichtigung von Sicherheitsaspekten wichtig, um Fehlkonfigurationen bereits in IaC-Templates zu erkennen und zu beheben. Die Erkennung von Sicherheitsproblemen zu einem früheren Zeitpunkt im Entwicklungszyklus beschleunigt die sichere Bereitstellung von Anwendungen und fördert eine bessere Zusammenarbeit zwischen DevOps- und Sicherheitsteams. Noch wichtiger ist, dass dadurch bessere Sicherheitsrichtlinien in der Produktionsumgebung durchgesetzt werden.
„Führungskräfte im Bereich Sicherheits- und Risikomanagement, die die Sicherheit der Cloud-Infrastruktur verwalten, sollten sichere Umgebungen schaffen, um Entwicklerinnovationen zu erleichtern, indem sie intelligente Sicherheitstools in die Bereitstellungspipelines integrieren (z. B. Infrastructure-as-Code [IaC]-Scanning), um Risiken frühzeitig zu erkennen und vor unsicheren Workloads zu warnen, bevor diese bereitgestellt werden“, so ein Auszug aus dem Gartner, Cool Vendors in Cloud Security Posture Management, Tom Croll, Neil MacDonald, Mark Wah, Prateek Bhajanka, 9. Juni 2021.
Qualys-Cloudview ermöglicht eine vollständige Transparenz und Sicherheitskontrolle von Public-Cloud-Workloads und bewertet jetzt IaC-Templates auf Fehlkonfigurationen. IaC-Bewertungen werden in den Softwareentwicklungszyklus integriert, um sicherzustellen, dass nur Code bereitgestellt wird, der den Sicherheitsstandards des Unternehmens entspricht. Der Cloud-Plattform-Ansatz von Qualys bietet vollständige Transparenz, indem er Laufzeit- und Build-Time-Posture sowie die Drift zwischen beiden in einer einzigen Ansicht zusammenführt.
Bewertung der Sicherheitslage in der gesamten CI/CD-Pipeline
Unternehmen können nun die Sicherheitslage zu einem früheren Zeitpunkt im Entwicklungszyklus bewerten und so das Sicherheitsrisiko nach der Bereitstellung drastisch reduzieren. Cloudview-IaC-Security bietet eine Befehlszeilenschnittstelle zur lokalen Durchführung einer Sicherheitsbewertung. Um die Bereitstellung zu unterbinden, wenn Fehlkonfigurationen entdeckt werden, sind auch Plug-ins für Quellcode-Repositories beim Check-in und CI/CD-Plattformen verfügbar.
Einhaltung bewährter Sicherheitsverfahren
Cloudview-IaC-Security macht es Unternehmen leicht, die von den Anbietern von Cloud-Plattformen propagierten Best Practices für die Sicherheit zu übernehmen. Cloudview-IaC-Security unterstützt beliebte IaC-Sprachen wie Terraform, Cloudformation (CF) und Azure-Resource-Manager (ARM). Außerdem werden Konfigurationen anhand von Tausenden von bewährten Sicherheitspraktiken geprüft, die von Amazon-Web-Services, Azure, Google-Cloud-Platform und Standardgremien wie dem Center for Internet Security vorgegeben werden. Darüber hinaus liefert Cloudview automatisch Vorschläge zur Abhilfe, wenn eine nicht konforme Konfiguration entdeckt wird.
Sicherstellung der Einhaltung von Branchenvorgaben
Mit Cloudview-IaC-Security können Unternehmen die Einhaltung von mehr als 20 Branchenvorschriften wie PCI, HIPAA und NIST 800-53 sicherstellen. Das reduziert die Belastung für die DevOps-Sicherheitsteams und sorgt für einen optimierten Prozess bei vorgeschriebenen Compliance-Audits.
„Mit der Erweiterung von Cloudview mit der IaC-Bewertung erweitert Qualys seine Cloud-Security-Posture-Management (CSPM)-Lösung, um Shift-Left-Anwendungsfälle zu handhaben“, sagt Sumedh Thakar, Präsident und CEO von Qualys. „Durch die Nutzung der Qualys-Cloud-Plattform und ihrer integrierten Apps können Kunden nun die Sicherheitsautomatisierung in alle Phasen des Lebenszyklus ihrer Anwendungen einführen und so über ein einheitliches Dashboard vollständige Transparenz sowohl für die Laufzeit als auch für die Build-Time gewährleisten.“
#Qualys
