Schlafen Sie nicht bei der Sicherheit: DevOps-Praktiken sind bereits für die Bedrohungsabwehr gerüstet
Wer DevOps einführt, tut dies häufig in dem Irrglauben, dass die Einhaltung bewährter Sicherheitspraktiken zu einer Verlangsamung führen würde. Aus diesem Grund bleiben Sec-Teams oft außen vor. Nur ein Viertel der Unternehmen, die in unserer kürzlich gemeinsam mit Enterprise Strategy Group (ESG) Research veröffentlichten Studie „Der Wendepunkt bei Webanwendungen und API-Sicherheit“ befragt wurden, gaben an, dass sie die Sicherheitsverantwortung für alle Anwendungen und Aspekte ihrer Umgebung zentralisiert haben.
Die Realität sieht jedoch so aus, dass DevOps-Praktiken bereits auf Security ausgelegt sind. Im Folgenden finden Sie einige Möglichkeiten, DevOps-Praktiken optimal zu nutzen, indem Sie Sicherheitsaspekte berücksichtigen, anstatt Security als Hindernis zu betrachten.
Continuous Deployment erfordert Einblicke in potenzielle Bedrohungen
Der Schlüssel zu DevOps ist ein Continuous-Deployment-Modell, das die Frequenz der Releases erhöht, damit Ihre Teams Innovationen schneller vorantreiben und Ihren Kunden bessere Produkte und Erlebnisse bieten können.
Die Einführung von Open-Source- oder cloudnativen Komponenten und Frameworks verschlechtert jedoch die Transparenz in wichtigen Bereichen der Anwendungssicherheit. Die durchschnittliche Code-Base einer Anwendung besteht beispielsweise zu 70 % aus Open-Source-Code, und in fast 90 % der Fälle war eine Komponente der Software seit über Jahren veraltet oder wurde in den letzten zwei Jahren nicht weiterentwickelt. Dies kann wiederum zur Folge haben, dass potenzielle Bedrohungen nicht erkannt werden.
Nutzen Sie Tools, die sowohl Ihre Systeme absichern als auch Ihren Sec-, DevOps- und Dev-Teams Einblicke in Bedrohungen und Schwachstellen bieten. Verbesserte Transparenz bedeutet, dass Ihre Teams Sicherheitstelemetrie erhalten, um in den DevOps- und Sec-Tools, die sie bereits verwenden (wie etwa Jira, PagerDuty, Slack und Splunk), auf diese Daten zugreifen zu können und nicht gezwungen zu sein, sich bei einer weiteren Managementkonsole anzumelden.
Konsolidierung sorgt für angemessene Sicherheitsumgebungen und schnelle Lösungen
Bestimmte Sicherheitstools wie statische Anwendungssicherheitstests (SAST) oder dynamische Anwendungssicherheitstests (DAST) testen eine Momentaufnahme der Code-Base in Entwicklungsumgebungen. Die Code-Base kann sich bis zur Freigabe des Codes in der Produktivumgebung ändern, was zu False Positives führt, wenn WAF-Regeln für eine ältere Momentaufnahme der Code-Base geschrieben wurden. Dies stellt angesichts der schnellen DevOps-Zyklen ein großes Problem dar.
In der oben erwähnten ESG-Studie gaben die Umfrageteilnehmer an, von ihren Web-App- und API-Sicherheitstools durchschnittlich 53 Warnmeldungen pro Tag zu erhalten, wovon sich 45 % letztendlich als False Positives entpuppten. Die Krux an der ganzen Geschichte ist also, dass 75 % der Unternehmen genauso viel oder mehr Zeit mit Falschmeldungen verbringen wie mit tatsächlichen Angriffen.
Wenn Sie mit all diesen Fehlalarmen überschwemmt werden, ist die Versuchung groß, die meisten davon zu ignorieren und ihnen nicht nachzugehen, was wiederum zu Reibungen zwischen Dev und Sec führen kann. Um diese Reibungen zu verringern und eine weitere Anhäufung von Sicherheitslücken zu vermeiden, ist es wichtig, dass Ihre Entwickler Ihren Sicherheitstools vertrauen und die Tools, mit denen sie arbeiten, in die DevOps-Pipeline integrieren.
Entwicklerteams entscheiden sich oft für ihren eigenen Anwendungsstack. Dies führt leider dazu, dass eine Vielzahl von Dev- und Ops-Umgebungen im Einsatz sind, die oft bei mehreren Cloud-Anbietern gehostet werden. Es gilt also sicherzustellen, dass die Sicherheitstools sowohl richtig funktionieren, um in jeder Umgebung, in der Ihre Apps laufen, die nötige Transparenz zu bieten, als auch mit der von Ihren Entwicklern gewählten Pipeline kompatibel sind.
In Unternehmen, die sich auf edgebasierte DevOps-Services konzentrieren, bietet die Implementierung von Security-as-Code den Entwicklern die Möglichkeit, Sicherheit in jedem Schritt der DevOps-Pipeline zu implementieren.
Achten Sie auf Edge-Services mit umfangreichen APIs und Unterstützung einer Vielzahl von Programmiersprachen sowie auf eine solide Integration in die aktuelle DevOps-Pipeline und Toolchains. So können Entwickler nicht nur die richtigen Sicherheitsumgebungen für die verschiedenen Anwendungsziele wie Entwicklung, Staging oder Produktion einrichten, sondern auch schnell Korrekturen und Patches für die Anwendungen in der Produktivumgebung bereitstellen, ohne sich um zeitraubende False Positives kümmern zu müssen.
DevOps-native Sicherheitstools ermöglichen Automatisierung
Erkennung und Prüfung sind nicht die einzigen Sicherheitsprozesse, die durch Automatisierung gesteuert werden sollten. Automatisierung kann genauso gut auch von der Bereitstellung bis hin zur Angriffsabwehr eingesetzt werden.
Bei Datenexfiltration macht eine Minute im Vergleich zu 10 bis 20 Minuten einen gewaltigen Unterschied. Durch Automatisierung können Sie mit Maschinengeschwindigkeit reagieren. Auch Angriffe sind heute oft automatisiert, sodass Sie Ihre Erfolgschancen bei der Angriffsabwehr durch Automatisierung steigern können.
DevOps-native Sicherheitstools wie Next-Gen WAFs oder Testautomatisierung, die sich sowohl in die Entwicklungsinfrastruktur als auch in cloudnative Komponenten wie Kubernetes und Envoy integrieren lassen, ohne dass die Code-Base oder die Instrumentierung für jede Bereitstellung geändert werden muss, tragen dazu bei, diesen Automatisierungsgrad zu erreichen. Nach der Bereitstellung können Sie die Überwachung des Traffics und der Anwendungsperformance sowie die Erkennung und Reaktion auf Angriffe und Anomalien automatisieren.
Integrierte Lösungen ermöglichen es Entwicklern, sich ohne Performanceverluste auf ihre Arbeit zu konzentrieren
Während mehrere kleinere Dev-Teams die Verantwortung für ihren eigenen Code, dessen Bereitstellung und die entsprechenden Umgebungen übernehmen, stehen große Unternehmen oft vor dem Problem, dass jedes Team seine eigenen Toolsets hat, verschiedene Softwarekomponenten nutzt und unterschiedliche Prozesse einführt.
Die erhöhte Komplexität der Verwaltung verschiedener Dev-Umgebungen erschwert die Absicherung dieser Assets und der daraus resultierenden Software zusätzlich. Die Vereinfachung der Dev-Umgebung und die Konsolidierung bewährter DevOps-Prozesse in gemeinsamen Services kann Redundanzen verringern, die Komplexität minimieren und es ermöglichen, dass Sicherheitstests und Konfigurationsänderungen das Anwendungsportfolio eines Unternehmens besser abdecken.
Ihre Entwickler brauchen eine Plattform, in die Zuverlässigkeit, Performance und Sicherheit bereits integriert sind, damit sie sich ganz auf die Entwicklung von Anwendungen konzentrieren können. Developer, die sich ständig um die Wartung ihrer Infrastruktur kümmern müssen, vernachlässigen oft die Sicherheit, um ihre Arbeit schneller zu erledigen.
Flexibilität sollte selbstverständlich gefördert werden. Wird eine gemeinsame Infrastruktur zur Bewältigung schwieriger Aufgaben wie Authentifizierung, Datenverschlüsselung und Verwaltung von Zugriffsrechten genutzt, brauchen sich Entwickler nicht mehr um das Thema Security sorgen. Denn diese ist nun bereits in die Umgebung integriert.
Fazit: Integrieren Sie sichere DevOps-Praktiken in Ihre Strategie zur digitalen Transformation
Ops-, Dev- und Sec-Teams haben alle ihre eigenen Probleme, Anreize und Prioritäten. Um aber ein effizientes DevOps-Umfeld zu schaffen, müssen diese Gruppen ihre kulturellen Unterschiede überwinden und daran arbeiten, Security auf eine Weise in DevOps zu integrieren, die für das Unternehmen förderlich ist.
In der Vergangenheit haben Sec-Teams bestimmte Sicherheitsrichtlinien festgelegt, ohne dass Dev-Teams einen wesentlichen Beitrag dazu leisten konnten. Gleichzeitig sind die Anreize für Entwickler oft darauf ausgelegt, schnell funktionstüchtigen Code zu programmieren, und nicht darauf, dabei auch gewisse Sicherheitsmeilensteine zu berücksichtigen. Um aber eine Kultur zu etablieren, die realisierbare Sicherheitsstandards begünstigt, um sich weiterhin auf die Bereitstellung besserer Produkte und Erlebnisse für Ihre Kunden zu konzentrieren, müssen beide Bereiche auf einen Nenner kommen. Und Secure DevOps ist ein guter Ausgangspunkt.
Laden Sie die vollständige ESG-Studie herunter, um mehr über moderne Sicherheitstrends und die Herausforderungen zu erfahren, denen sich Unternehmen von heute stellen müssen.