Tel: +41 44 388 60 80
info@jeko.com
 

Red Hat hebt IT-Sicherheit von der Software-Lieferkette bis zum Edge auf ein neues Level

Home » Red Hat » Red Hat hebt IT-Sicherheit von der Software-Lieferkette bis zum Edge auf ein neues Level

Portfolioübergreifende Verbesserungen unterstützen Unternehmen bei der Weiterentwicklung von Sicherheitsmassnahmen und der Umsetzung von DevSecOps, während sie Innovationen in der offenen Hybrid Cloud vorantreiben.

Boston/Zürich – Red Hat Summit, 10. Mai 2022 – Red Hat, der weltweit führende Anbieter von Open-Source-Lösungen, stellt eine Reihe von Security-Innovationen und neuen Sicherheitsfunktionen vor, die sich über das gesamte Portfolio an Technologien für die offene Hybrid Cloud erstrecken. Die Neuerungen werden Unternehmen dabei helfen, in zunehmend komplexen IT-Umgebungen mit Cloud-Services, traditionellen Systemen und Edge-Geräten Risiken zu reduzieren und Compliance-Anforderungen zu erfüllen. Sie sollen die Komplexität minimieren und die Verbesserung von Sicherheitsmassnahmen sowie die Umsetzung von DevSecOps erleichtern.

Dem Red Hat 2021 Global Tech Outlook zufolge ist IT-Sicherheit für 45 Prozent der Befragten die Top-Finanzierungspriorität im IT-Bereich. Allerdings ist IT-Sicherheit kein statisches Konzept – da sich regulatorische Vorgaben, Compliance-Anforderungen und die Arbeitsweisen von Cyberkriminellen fast täglich verändern, müssen Security-Teams wachsam bleiben und sich kontinuierlich anpassen.

Bereits seit Langem ist Red Hat führend im Bereich sicherer Open-Source-Lösungen für Unternehmen – angefangen bei Red Hat Enterprise Linux, bei dem Security eine grundlegende Komponente und kein Add-on ist. Das Analystenhaus KuppingerCole hat Red Hat kürzlich in seinem Leadership Compass für Container Security als Overall Leader ausgezeichnet. In der Bewertung von KuppingerCole heisst es: „Mit einer massiven Marktpräsenz und nachgewiesener Expertise im Bereich Container-Management, verstärkt durch die kürzliche Akquisition und Integration von StackRox, einem führenden Container-Sicherheitsunternehmen, wird Red Hat als Overall Leader in diesem Leadership Compass anerkannt.“

Mit der heutigen Ankündigung setzt Red Hat seinen kontinuierlichen Innovationskurs fort, um die Sicherheit in hybriden Cloud-Umgebungen – von On-Premises über Multi-Cloud bis hin zum Edge – über den gesamten Technologie-Lebenszyklus und Software-Stack hinweg zu verbessern.

Ein besserer Schutz der Software-Lieferkette

Die Absicherung von Anwendungen – von der Entwicklung und über ihren gesamten Lebenszyklus – kann komplex sein und das Zusammenspiel verschiedener Komponenten erfordern. Um die Implementierung von Sicherheitsfunktionen über den kompletten Prozess der Entwicklung, der Bereitstellung und des Betriebs zu vereinfachen, führt Red Hat ein Software Supply Chain Security Pattern ein.

Das über Red Hat OpenShift bereitgestellte Pattern liefert einen vollständigen Stack als Code und definiert, erstellt und testet die erforderlichen Software-Konfigurationen. Es ist als Preview verfügbar und bringt alles mit, was Unternehmen für die Erstellung Cloud-nativer Anwendungen aus vertrauenswürdigen Komponenten benötigen.

Das Pattern nutzt für die Versionskontrolle eine Kubernetes-native CI-Pipeline (Continuous Integration) über Red Hat OpenShift Pipelines und Red Hat OpenShift GitOps, sodass Unternehmen die Komplexität reduzieren und Zeit sparen können. Darüber hinaus bindet das Pattern über Tekton Chains auch Sigstore ein. Das Open-Source-Projekt verbessert das kryptografische Signieren von Code und erleichtert es, Entwicklungsartefakte direkt in der Pipeline zu signieren und nicht erst nach der Erstellung der Anwendung.

Darüber hinaus führt Red Hat mit Red Hat Ansible Automation Platform 2.2 eine technische Vorschau der Signiertechnologie für Ansible-Inhalte ein. Das neue Feature hilft Automatisierungsteams bei der Validierung von Automatisierungsinhalten – sie können sicherstellen, dass alles, was innerhalb ihres Unternehmens ausgeführt wird, verifiziert und vertrauenswürdig ist.

Erweiterte Anwendungssicherheit vom Rechenzentrum bis zum Edge

Auch wenn Unternehmen verstärkt auf Cloud-native Architekturen setzen, verlangt die Kerninfrastruktur weiterhin nach gehärteten Umgebungen, einer Verkleinerung der Angriffsfläche und einer schnelleren Erkennung von und Reaktion auf Bedrohungen. Anwendungen, die ausserhalb traditioneller IT-Umgebungen laufen, unter anderem am Edge, bringen zusätzliche Sicherheitsanforderungen mit sich und erhöhen die ohnehin schon komplexen Herausforderungen.

Neben dem physischen Schutz von Edge-Geräten sehen CIOs und IT-Entscheider zunehmend die Notwendigkeit, auch die auf den Geräten laufenden Edge-Workloads abzusichern. Sie implementieren beispielsweise Strategien und Funktionen, um zu verhindern, dass sich Angreifer innerhalb der Infrastruktur bewegen oder dass sich Sicherheitsvorfälle auf die gesamte Edge-Umgebung ausdehnen. Red Hat Advanced Cluster Security für Kubernetes stellt eine einsatzfertige Lösung für solche Anforderungen dar und schützt Edge-Workloads unter anderem durch:

  • automatisiertes DevSecOps in der CI/CD-Pipeline (Continuous Integration/Continuous Delivery), um die Software-Lieferkette durch Schwachstellenmanagement, die Analyse von Anwendungskonfigurationen und CI/CD-Integrationen zu schützen
  • eine Threat Protection, die gängige Bedrohungen zur Laufzeit erkennt und Funktionen für die Incident Response mitbringt
  • eine Netzwerksegmentierung, die hilft, Workloads zu isolieren, die Kommunikation zwischen Containern zu analysieren und risikoreiche Kommunikationspfade aufzuspüren.

Integrierte Sicherheit beginnt mit dem Betriebssystem
In der 2022 Gartner Board of Directors Survey1 stuften 88 Prozent der Vorstandsmitglieder Cybersecurity als Geschäftsrisiko ein, nur 12 Prozent sahen IT-Sicherheit als Technologierisiko. Die weitreichenden Auswirkungen von Cyberattacken und Datenlecks haben dazu geführt, dass Investoren und Aufsichtsbehörden zunehmend einen prüfenden Blick auf IT-Umgebungen werfen. Diese gegen potenziell schädliche Vorfälle abzusichern, ist für Unternehmen geschäftskritisch, und Red Hat vertritt die Ansicht, dass die Bemühungen an der Basis beginnen müssen – auf Betriebssystemebene mit Red Hat Enterprise Linux.

Red Hat Enterprise Linux 9 legt den Grundstein für die Runtime-Integritätsprüfung des Betriebssystems und der Anwendungsdateien, indem es digitale Dateisignaturen in RPM-Paketen bereitstellt. Die Plattform nutzt die Integrity Measurement Architecture (IMA) auf der Kernel-Ebene, um einzelne Dateien und deren Herkunft zu überprüfen. Die IMA-Dateiprüfung hilft insbesondere bei der Erkennung versehentlicher und böswilliger Änderungen an Systemen und bietet den Sicherheitsteams mehr Möglichkeiten zur Behebung potenzieller Probleme oder Vorfälle.

Weitere wichtige Sicherheitsfunktionen in Red Hat Enterprise Linux 9 sind:

  • Verbesserte Sicherheit rund um Root-Rechte durch die standardmässige Deaktivierung der Root-Anmeldung über SSH. Dies trägt dazu bei, die Entdeckung von Root-Passwörtern durch Brute-Force-Angriffe zu verhindern und die grundlegenden Sicherheitsvorkehrungen einer Betriebsumgebung zu verbessern.
  • Unterstützung für die neuesten kryptografischen Frameworks mit der Integration von OpenSSL 3. Dadurch können IT-Teams neue Chiffren für die Verschlüsselung und den Schutz sensibler Informationen einführen.
  • Verbesserung der bewährten Sicherheitspraktiken durch die Deaktivierung der kryptografischen SHA-1-Hash-Funktion für digitale Signaturen, um die Sicherheitshygiene zu verbessern.

Darüber hinaus arbeiten Red Hat und IBM Research gemeinsam an der Erweiterung der zentralen Sicherheitsaspekte des Linux-Kernels, beispielsweise durch die Unterstützung für das Signieren und Verifizieren digitaler Signaturen mit elliptischen Kurven. Durch diese Arbeit werden die unterstützten Algorithmen erweitert und die Grösse der im Linux-Kernel verwendeten digitalen Signaturen verringert.

Verfügbarkeit

Supply Chain Security Pattern wird voraussichtlich in den kommenden Monaten verfügbar sein. Red Hat Enterprise Linux 9 wird in den kommenden Wochen allgemein verfügbar sein. Red Hat Advanced Cluster Security für Kubernetes ist jetzt allgemein verfügbar und kann hier heruntergeladen werden.

Zitat

Vincent Danen, Vice President, Product Security bei Red Hat
„IT-Sicherheit sollte nicht an eine Software-Edition oder ein Zusatzmodul gebunden sein. Sie muss direkt in jedwede Technologie integriert werden, für die sich Unternehmen entscheiden, angefangen beim Betriebssystem bis hin zum Anwendungslevel. Die erweiterten Security-Funktionen im gesamten Hybrid-Cloud-Portfolio von Red Hat sollen dazu beitragen, den IT-Betrieb weniger komplex zu gestalten und ein hohes Mass an Sicherheit zu bieten, unabhängig davon, wo die IT-Umgebung eines Unternehmens läuft. Das Versprechen von Red Hat an DevSecOps ist, Security nicht einfach nur irgendwo anzuschrauben, sondern zu einem integralen Bestandteil von Anwendungen zu machen, von ihrer Entwicklung bis zum Produktiveinsatz, um IT-Teams technisch und organisatorisch zu unterstützen.“

Zusätzliche Informationen

Weitere Informationen

1 Gartner, Marketing Insights, What Is Cybersecurity?, 25. April 2022
Gartner is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.

Über Red Hat, Inc.
Red Hat, der weltweit führende Anbieter von Enterprise-Open-Source-Lösungen, folgt einem von der Community getriebenen Ansatz, um zuverlässige und leistungsstarke Linux-, Hybrid-Cloud-, Container- und Kubernetes-Technologien bereitzustellen. Red Hat unterstützt Kunden bei der Integration neuer und bestehender IT-Anwendungen, der Entwicklung Cloud-nativer Applikationen, der Standardisierung auf unserem branchenführenden Betriebssystem sowie der Automatisierung, Sicherung und Verwaltung komplexer Umgebungen. Preisgekrönte Support-, Trainings- und Consultingleistungen machen Red Hat zu einem vertrauenswürdigen Berater für Fortune-500-Unternehmen. Als strategischer Partner von Cloud-Providern, Systemintegratoren, Applikationsanbietern, Kunden und Open-Source-Communities kann Red Hat Unternehmen bei der Vorbereitung auf die digitale Zukunft unterstützen. Weitere Informationen: http://www.redhat.ch.

Forward-Looking Statements

Except for the historical information and discussions contained herein, statements contained in this press release may constitute forward-looking statements within the meaning of the Private Securities Litigation Reform Act of 1995. Forward-looking statements are based on the company’s current assumptions regarding future business and financial performance. These statements involve a number of risks, uncertainties and other factors that could cause actual results to differ materially. Any forward-looking statement in this press release speaks only as of the date on which it is made. Except as required by law, the company assumes no obligation to update or revise any forward-looking statements.

Red Hat, the Red Hat logo and OpenShift are trademarks or registered trademarks of Red Hat, Inc. or its subsidiaries in the U.S. and other countries.

Pressekontakt:
Jenni Kommunikation AG
Luca Perler
Südstrasse 85
8008 Zürich
Tel: +41 44 388 60 80
luca.perler@jeko.com

Posted on