5 Tipps für die Schaffung einer Secure-DevOps-Kultur

Der Sprung von einem traditionellen DevOps-Zyklus zu einem sicherheitsorientierten DevOps-Zyklus – den wir als Secure DevOps bezeichnen – ist keine Kleinigkeit. Security in den Mittelpunkt Ihres DevOps-Zyklus zu stellen, erfordert Transparenz, Vertrauen, Zustimmung von allen Seiten sowie kontinuierliche Zusammenarbeit und Optimierung. Kurz gesagt, es erfordert eine neue Arbeitskultur. 

Da es sich dabei um einen völlig neuen Ansatz handelt, nimmt Secure DevOps von Unternehmen zu Unternehmen viele verschiedene Formen an. Vielleicht setzen Sie im Rahmen von Continuous Integration (CI) ein statisches Analysetool ein, um als Teil Ihrer Testpipeline nach Schwachstellen in Abhängigkeiten zu suchen. Vielleicht erstellt Ops für den Bedarfsfall einen Plan für die Bereitstellung von umsetzbaren Erkenntnissen über Bedrohungen. Oder aber Ihr Unternehmen investiert in Schulungen, um sicherzustellen, dass das Team über ein solides Bewusstsein für die Grundlagen von Secure Development verfügt.

Unabhängig von der tatsächlichen Implementierung geht es in der Praxis darum, entlang des CI/CD-Pfads Möglichkeiten für Ihre Dev-, Ops- und Sec-Teams zu finden, um Sicherheitsentscheidungen gemeinsam abzusegnen. Hier fünf Tipps, die Ihrem Team helfen können, eine Umgebung zu schaffen, in der Secure DevOps erfolgreich sein kann.

Investieren Sie in Secure DevOps, um langfristig Zeit zu sparen

Wenn es um die Implementierung von Security innerhalb des DevOps-Zyklus geht, ist die größte Sorge der Entwickler, dass dies ihren Fortschritt verlangsamen könnte. Wenn Sie jedoch in die Entwicklung eines für Ihr Team geeigneten Secure-DevOps-Lebenszyklus investieren, haben Sie vom ersten Tag an ein sichereres Fundament für Ihre Anwendung, dass sie nicht zu einem späteren Zeitpunkt reparieren oder ersetzen müssen. Bei richtiger Automatisierung kann Secure DevOps langfristig Zeit, Geld, Frust und sogar mögliche Rechtsstreitigkeiten sparen.

Finden Sie Gleichgesinnte

Mit den richtigen Leuten an der Spitze jeder Abteilung können Sie die Akzeptanz des gesamten Teams für diesen neuen Prozess beeinflussen. Finden Sie diejenigen Kollegen und Ansprechpartner, die den Wert von Secure DevOps erkennen und sich dafür einsetzen werden. Ihre geballte Überzeugung wird das Unternehmen anstecken und Akzeptanz für den Secure-DevOps-Lebenszyklus schaffen. Diese Partnerschaften können auch als Beispiel dafür dienen, wie Ihre Teams zusammenarbeiten und die jeweiligen Stärken der anderen nutzen.

Fördern Sie Neugier und Lernen

Damit Secure DevOps ein Erfolg wird, müssen sich Entwickler mit modernen App-Security-Praktiken vertraut machen. Schaffen Sie ein Arbeitsumfeld, in dem hilfreiche Artikel und Videos ausgetauscht werden können und die Teilnahme an Webinaren sowie das Testen neuer Tools unterstützt werden. Die Förderung einer Lernkultur verschafft Ihnen und Ihrem Team nicht nur einen Vorsprung, sondern signalisiert auch, dass sich das Unternehmen für seine Mitarbeiter und den Erfolg von Secure DevOps einsetzt. 

Automatisieren Sie so viel wie möglich und vereinfachen Sie das, was nicht automatisiert werden kann.

Alles, was die CI/CD-Pipeline verlangsamt, kann dazu führen, dass Entwickler sich zu sehr beeilen, wichtige Schritte überspringen oder bei der Bereitstellung zögern. Schnelligkeit ist im CI/CD-Zyklus immer noch das Wichtigste, auch bei Secure DevOps. Stellen Sie Ihrem Team also so viele automatisierte Tools zur Verfügung, wie es zum Kommunizieren, Testen, Überwachen, Modellieren von Bedrohungen und vielem mehr benötigt. Bandit, Brakeman, Cargo Audit, Dawn Scanner und Trufflehog – Fastly unterstützt die Integration mit all diesen automatisierten Lösungen, die sich in aktuelle DevOps-Toolchains einfügen lassen, sodass Entwickler in ihren eigenen Umgebungen testen können. 

Es gibt jedoch immer Raum für die gute alte menschliche Denkarbeit. In diesen Fällen ist es am besten, über schriftlich festgelegte Prozesse zu verfügen, die den Kreislauf in Gang halten. Peer Reviews sind ein perfektes Beispiel dafür. Linters und statische Analysatoren sind hervorragend geeignet, um sicherzustellen, dass der Code kompiliert werden kann und keine gängigen Fehler enthält, und eine zuverlässige Testsuite kann überprüfen, ob der Code wie vorgesehen funktioniert. Eine manuelle Überprüfung kann allerdings schnell und einfach unerwartete neue Funktionen oder Probleme aufdecken, die von Analysetools nicht erkannt werden. Dasselbe gilt für die Zugriffskontrolle. Es ist einfach, Automatisierungen zu schreiben, die Zugriffe auf Grundlage von Gruppen- und Teamzugehörigkeit verwalten können. Letztendlich sollte der privilegierte Zugriff aber immer noch durch einen manuellen Genehmigungsprozess eingeschränkt werden. So wird sichergestellt, dass die Automatisierung nicht missbraucht werden kann, um einem Angreifer den Zugang zu sensiblen Systemen zu ermöglichen. Peer Reviews lassen sich leicht durch Tools ergänzen, aber oft ist die menschliche Note entscheidend, wenn es um die Kontrolle von Variablen geht, die nicht ohne Weiteres durch Automatisierung erfasst werden können.

Wenn Sie bei der Auswahl der richtigen Secure-DevOps-Tools für Ihr Unternehmen eine fundierte Entscheidung treffen möchten, lesen Sie unser Whitepaper, in dem wir vier Funktionen beschreiben, die Sie berücksichtigen sollten.

Setzen Sie klare Erwartungen und drängen Sie auf Transparenz

Setzen Sie sich in den ersten Tagen der Implementierung von Secure DevOps mit den Dev-, Sec- und Ops-Teams zusammen und legen Sie fest, was die einzelnen Teams voneinander erwarten sollten. Was ist zumutbar? Was nicht? Welche Bedrohungen sollten gemeldet werden? Was gilt als eine Überlastung mit Alarmen? Auf welche Engpässe könnten wir stoßen und wie können wir sie vermeiden?

Es ist auch unglaublich wichtig, dass alle Teams vollständige Transparenz in das Produkt und seine Logs haben. Ein ständiger, direkter Einblick in Ihren Traffic ermöglicht es Ihnen, potenzielle Bedrohungen zu erkennen und so schnell wie möglich angemessen zu reagieren. 

Die Integration von Security in den Kern Ihres DevOps-Zyklus mag überwältigend erscheinen. Aber – und das ist die gute Nachricht – am besten ist es, klein anzufangen. Wählen Sie eine kleine Aufgabe, setzen Sie den Prozess in Gang, bringen Sie ihn zum Laufen, zeigen Sie auf, welchen Mehrwert er bietet, und bauen Sie dann darauf auf. Wenn Sie nur ein oder zwei Secure-DevOps-Praktiken einführen, sind Sie auf dem besten Weg, schnell sicherere Anwendungen zu entwickeln. Und davon können alle Beteiligten nur profitieren.