Vier Tipps, wie Sie die Sicherheit in Ihre DevOps-Verfahren integrieren
Man kann wohl mit Sicherheit sagen, dass Sie sich demnächst für DevOps entscheiden sollten, weil Ihnen der Markt andernfalls die Entscheidung abnimmt. Bereits jetzt suchen Unternehmen bei der Anwendungsentwicklung nach schnelleren Bereitstellungszyklen. DevOps ist eine Kultur, Bewegung und Praxis. Sie ermöglicht die Zusammenarbeit zwischen Entwicklungs- und Operations-Teams über den gesamten Lebenszyklus der Softwarebereitstellung hinweg – von Design und Entwicklung bis hin zum Support für die Produktion.
Das Modell einer kontinuierlichen Bereitstellung erfreut sich wachsender Beliebtheit. Es bringt jedoch auch betriebliche und kulturelle Herausforderungen mit sich, wenn nun in einem feinen Balanceakt auch die Sicherheit miteinbezogen werden soll.
Dieser Prozess geht zwar mit den üblichen Anfangsschwierigkeiten einher, etwaige Unannehmlichkeiten werden jedoch durch die Vorteile aufgewogen. Unternehmen wird zunehmend bewusst, dass durch die Einbindung von Sicherheit viele Risiken abgewehrt werden können, noch bevor irgendein Schaden entstehen kann.Auf der einen Seite muss DevOps die Sicherheit uneingeschränkt in ihre Prozesse integrieren, während Sicherheitsexperten auf der anderen den kulturellen Übergang zu DevOps bewerkstelligen müssen.
Viele Unternehmen arbeiten aufgrund der geschäftlichen Vorteile bereits an der Integration der Sicherheit oder haben zumindest entsprechende Pläne. In einem zusammen mit der Enterprise Strategy Group (ESG) verfassten Bericht mit dem Titel „Reaching the Tipping Point of Web Application and API Security“ (Erreichen des Wendepunkts für Webanwendungen und API-Sicherheit) gaben 55 % der befragten Unternehmen an, dass sie aktuell über mehrere Teams zur Absicherung von Webanwendungen verfügen, diese aber in Zukunft zu einem einzigen Team zusammenschließen wollen.
Eine solche Integration nennt man gemeinhin „Secure DevOps“ (oder auch „DevSecOps“), wobei über den gesamten Service-Lebenszyklus hinweg die Sicherheit mit DevOps verknüpft werden soll. Sollte auch Ihr Unternehmen planen, die Funktionen von DevOps und Sicherheit miteinander zu vereinen, sind einige Dinge zu beachten:
1. Lösen Sie sich von der veralteten Kultur der Abschirmung
Kultur bildet die Grundlage aller Unternehmensfunktionen. Das gilt insbesondere für DevOps. Jetzt da der kulturelle Übergang von Sicherheit zu DevOps begonnen hat, müssen Sicherheitsexperten dafür sorgen, dass Fortschritt und Innovation nicht durch Sicherheit behindert werden, da sie sonst ignoriert und marginalisiert wird.
Der Aufbau oder die Förderung einer Abschirmungskultur von Funktionen rund um die Sicherheit ist kein nachhaltiges oder zukunftsorientiertes Modell. Sicherheit und Entwicklung müssen zusammenarbeiten, um maximale Synergien zu erzielen.
Letztlich kann kultureller Widerstand von beiden Seiten den Übergang Ihres Unternehmens zu Secure DevOps beeinträchtigen. Die jeweiligen Sicherheits- und Entwicklungsteams benötigen ein Höchstmaß an funktionsübergreifender Zusammenarbeit. Tools, Richtlinien und Prozesse müssen zentralisiert werden.
2. Ernennen Sie Sicherheitsverantwortliche im gesamten Unternehmen
Die Initiative für mehr Secure DevOps sollte nicht allein auf Ihr Sicherheitsteam beschränkt sein. Denken Sie unternehmensweit und identifizieren Sie engagierte Sicherheitsverantwortliche, damit sicherheitsrelevante Entscheidungen getroffen werden.
Unternehmenssicherheit lässt sich nicht einfach mit mehr Personal lösen. Es stehen nicht genügend Sicherheitsfachkräfte zur Verfügung, um den aktuellen Bedarf zu decken, geschweige denn für das zukünftige Wachstum. Stattdessen finden die effektivsten, sicherheitsbewussten Unternehmen Wege, um Sicherheitsverantwortliche in ihrem gesamten Unternehmen einzusetzen.
3. Verbessern Sie Ihre Feedback-Schleifen
Wenn Ihr Unternehmen aufgrund von Sicherheitsverletzungen in die Schlagzeilen gerät, ist das im Hinblick auf die Sicherheit das schlechteste Feedback, das es erhalten kann. Feedback-Schleifen sind etwas Grundlegendes, trotzdem hat die Softwareentwicklung gewisse Probleme mit diesem Begriff. Doch wenn Sicherheitsmaßnahmen in den neuen, kürzeren DevOps-Zyklen erfolgreich sein sollen, brauchen Sie bessere Feedback-Schleifen. Denn sobald Ihr Unternehmen in einem schnellen Bereitstellungszyklus arbeitet, sind schnelle Feedback-Schleifen auch für Ihr Sicherheitsteam unabdingbar.
Einblicke in die sich rasant verändernde Laufzeitumgebung bieten Sicherheitsteams die Möglichkeit, mit Entwicklung und Operations zusammenzuarbeiten, um auf Ereignisse zu reagieren, bevor sie zu einer Störung werden. Sobald Sie einen proaktiven Webschutz einsetzen, entsteht eine Feedback-Schleife für Sicherheits- und DevOps-Teams. So bekommen Sie Antworten auf folgende Fragen:
Loggen sich ungewöhnlich viele Nutzer bei Ihnen ein?
Gibt es ungewöhnlich viele Passwortänderungen?
Wurden in der letzten Stunde mehr Accounts erstellt als sonst?
All dies sind subjektive Fragen, die sich auf den geschäftlichen Status quo beziehen. Höchstwahrscheinlich werden einige dieser Kennzahlen innerhalb Ihres Unternehmens bereits verfolgt, sind aber nicht für alle sichtbar. Wenn Sie eine Web Application Firewall (WAF) der neuesten Generation nutzen, kann das Sicherheitsteam Ihres Unternehmens entsprechende Feedback-Schleifen einrichten, um ungewöhnliche Verhaltensweisen aufzudecken, die auf aktuelle oder erfolgreiche Angriffe verweisen.
4. „Everything as Code“ – wie Sie die sicherheitsrelevanten Auswirkungen dieses Konzepts berücksichtigen
Bei „Everything as Code“ (wörtlich „alles als Code“), auch „Infrastructure as Code“ (d. h. „Infrastruktur als Code“), liegt alles, was an Infrastruktur erstellt, ausgeführt, getestet, geändert, überwacht, gesichert und vernichtet werden muss, wie auch das System als Ganzes, in Codeform vor. DevOps-Teams haben demnach einen wiederholbaren, skalierbaren Ansatz für ihre Aufgaben, die ansonsten manuell durchgeführt werden müssten. Dadurch wird die Fehleranfälligkeit signifikant gesenkt.
Allerdings haben die breiter gesteckten Ziele von „Infrastructure as Code“ folgende Auswirkungen auf die Sicherheit:
Versionsgesteuerte Artefakte
Versionsgesteuerte Artefakte sollten das System und alle seine Komponenten beschreiben. Dies sorgt für eine Trennung zwischen Konfigurationen, Wikis und Dokumenten, was wiederum die Versionierbarkeit und Referenzierbarkeit von Konfigurationen gewährleistet. Auch sollte sich das Konfigurationsmanagement des Systems im Betriebszustand befinden.
Testgesteuerte Entwicklung und Integrationstests
Eine testgesteuerte Entwicklung und Integrationstests sollten zur gängigen Praxis gehören. Schreiben Sie schon während der Entwicklung Tests für den Infrastruktur- und den Anwendungscode. Durch das frühzeitige Schreiben von Tests beim Erstellen der Infrastruktur wird ein gewünschter Zustand durchgesetzt. Zugleich erhält man eine Test-Suite für alle mit CI/CD verbundenen Arbeiten.
Verteilte Datenverarbeitung und Skalierung
Ohne die Behandlung der Infrastruktur als Code ist die Skalierung schwierig und verteilte Datenverarbeitung (Cloud) wird fast unmöglich. Entwicklungspraktiken werden von vornherein in die richtigen Bahnen gelenkt, wenn verteilte Datenverarbeitung und Skalierung als gewünschte Ergebnisse betrachtet werden.
Softwarelieferketten
Software besteht nicht nur aus Hunderten oder Tausenden von Codezeilen, die von Entwicklern geschrieben werden. Auch Aspekte wie Abhängigkeiten, das Betriebssystem und das Virtualisierungs-Framework dürfen dabei nicht außer Acht gelassen werden. Infrastruktur als Code fördert das Management der Softwarelieferkette durch die Einführung von Spezifität und einem auditierbaren Protokoll für die tatsächliche Laufzeit des Systems.
Jetzt sind Sie am Zug
Falls Sie noch ganz am Anfang stehen, ist es am besten, mit der Erstellung von sicherheitsrelevanten Feedback-Schleifen zu beginnen. So erweitern Sie Ihre Produktionsumgebung um Sicherheitsdaten und ermöglichen Feedback für Ihre Entwicklungs-, Operations- und Sicherheitsteams. Die entsprechenden Tools fördern die Beschleunigung von Entwicklungszyklen und sorgen dafür, dass das Thema Sicherheit im Unternehmen nicht mehr als Innovationshemmnis, sondern als Innovationsbeschleuniger betrachtet wird.
Laden Sie unseren vollständigen Bericht „Reaching the Tipping Point of Web Application and API Security“ herunter, um mehr über die Herausforderungen für Unternehmen im Zusammenhang mit Secure DevOps und den erforderlichen Tools zu erfahren.