Sicherheit in jeder DevOps-Phase Best Practices für die DevSecOps-Strategie

Im traditionellen DevOps-System fehlt ein entscheidendes Puzzleteil: eine übergreifende Sicherheitsprüfung. DevSecOps fokussiert daher bereits früh im Entwicklungsprozess das Thema Sicherheit. Wie funktioniert DevSecOps und was ist dabei zu beachten?

Anbieter zum Thema

DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen.
DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen.
(© Murrstock - stock.adobe.com)

DevOps verkürzt die Dauer der Anwendungsentwicklung durch die Kombination von IT-Betrieb und Softwareentwicklung. Daher werden Sicherheitstests in diesen Prozessen jedoch eher auf dem Zeitstrahl nach hinten verschoben, weil befürchtet wird, dass sie den Entstehungsprozess drastisch verlangsamen.

Frühzeitige Sicherheitschecks im Entwicklungsprozess sind allerdings entscheidend für eine hochwirksame Sicherheit. Obwohl dieser Umstand vielen Unternehmen bewusst ist, halten sie sich nicht daran. Dagegen wäre es gerade für dynamische Umgebungen angezeigt, die neuesten Sicherheitstools zu implementieren, um die Sicherheit von Anwendungen zu gewährleisten, ohne den Lebenszyklus der App-Entwicklung zu verlangsamen.

eBook DevSecOps
eBook „DevOps und Security“
(Bild: Dev-Insider)

E-Book zum Thema

Das eBook „DevOps und Security“ erläutert die Unterschiede von DevSecOps, SecDevOps und DevOpsSec und befasst sich mit dem Warum und Wie.


Hier kommt DevSecOps ins Spiel. Der Prozess​ver​besserungs​ansatz zielt darauf ab, neue Lösungen für den Entwicklungs​prozess von Software in einem agilen Rahmen zu schaffen. Das heißt, es werden scheinbar wider​sprüch​liche Ziel​setzungen garantiert: die der Sicherheit und einer schnellen Bereitstellung. Dies geschieht in Iterationen, ohne die Zyklen zu verlangsamen. Auf diese Weise lassen sich Sicher​heits​probleme gleich beim Auftreten erkennen und nicht erst, nachdem eine Bedrohung im Einsatz auftaucht.

Das bedeutet, immer wenn DevSecOps im Spiel ist, sind Unternehmen mit diesen Tools in der Lage, die Geschwindigkeit ihrer Produkt-Releases beizubehalten, das Sicherheitsrisiko jedoch deutlich zu senken sowie spätere Nacharbeiten und andere Korrekturen extrem zu reduzieren. Dies erfolgt durch die Verwendung von automatisierbaren und frühzeitig integrierbaren Sicherheitstools, insbesondere während der Code-Commit- und Pre-Implementation-Phase.

Vorteile von DevSecOps

Der wahrscheinlich schwierigste Aspekt bei der Integration von DevSecOps besteht darin, eine veränderte Denkweise zu schaffen und so eine neue Philosophie der Anwendungsentwicklung im gesamten Unternehmen zu etablieren. Im Kern geht es bei DevSecOps darum, die Verantwortung für die Sicherheit vollständig von den Schultern der Sicherheitsspezialisten zu nehmen und sie über verschiedene Teams hinweg zu teilen, insbesondere mit dem Entwicklungsteam. Die Implementierung von SecOps kann dem Unternehmen eine Reihe von Vorteilen bzw. Synergien bringen. Dazu gehören:

Bessere Übersicht

Der Anwender weiß immer, was in jeder Phase des Entwicklungsprozesses vor sich geht. Der Informations- und Wissensaustausch wird zwischen den Entwicklungsteams, Betriebsteams und Sicherheitsteams optimiert. Silo-Denken und -Praktiken innerhalb der Teams lösen sich auf.

Höhere Agilität

DevSecOps ergänzt den agilen Ansatz von Methoden wie beispielsweise Scrum und fördert zudem die Zusammenarbeit zwischen den Teams.

Rückverfolgbarkeit

Wenn Sicherheit in jeder Phase des Entwicklungsprozesses implementiert wurde, kann der Anwender alle Vorgänge nachverfolgen und zeigen, dass alles, was entsteht, nicht nur den geforderten Sicherheitspraktiken entspricht, sondern auch von allen Teilnehmern überprüft werden kann.

Compliance

Ein wichtiges Kriterium vor allem für Banken, Fintech, Gesundheitswesen und öffentlicher Sektor. Wenn die zu entwickelnde Anwendung bestimmte Standards erfüllen muss, liefert DevSecOps die Gewissheit, dass das Produkt auch vom ersten Tag die anvisierten Anforderungen erfüllt.

Ansätze möglicher DevSecOps-Technologien

Lösungen für DevSecOps befinden sich gegenwärtig noch in einer Wachstumsphase. Einer der Ansätze besteht darin, bestehende Security-Tools einfach anzupassen und entsprechend zu modifizieren und auf die neuen DevOps-Technologien wie Container, Cloud-Technologie und Serverless anzuwenden. Dabei werden bestehende Security-Lösungen an neue Stacks angepasst.

• DevSecOps als Weiterentwicklung

Ein Beispiel für die Anpassung bestehender Sicherheitslösungen an die neue DevOps-Technologie ist der Anbieter Trend Micro, der neue Updates veröffentlicht hat, die zwar mehr Sicherheit für DevOps versprechen, aber weiterhin auf ihrem bestehenden Produkt basieren. Es handelt sich dabei um Sicherheitslösungen für Clouds und Container. Dafür wurden Funktionen wie die automatische Erkennung und den Schutz von Cloud-Workloads bei Cloud-Anbietern hinzugefügt. Ein weiteres Feature ist das integrierte Image-Scanning in DevOps-Pipelines mit kontinuierlichem Bedrohungs- und Schwachstellen-Scanning. Das Ergebnis: Skalierbarkeit und Agilität mit Bereitstellungsskripts und APIs für wichtige Umgebungen.

Zudem werden Funktionen geboten, welche die Verwendung von Containern unterstützen. Container ermöglichen den reibungslosen Betrieb von Anwendungen in jeder Umgebung, im Data Center oder in der Cloud. Ferner helfen sie dabei, Anwendungen schneller und zuverlässiger bereitzustellen. Kompromisse zwischen Geschwindigkeit und Umgebungsflexibilität führen jedoch zu einem Mehr an Komplexität bei der Infrastruktur. Dies kann mit schwerwiegenden Sicherheitsfolgen verbunden sein, wenn sie nicht frühzeitig behoben werden. Die DevSecOps-Lösungen von Trend Micro helfen bei der Sicherung von Containern durch kontinuierliches Monitoring, das frühzeitig in den Entwicklungsprozess integriert wird.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

• DevSecOps als Neuentwicklung

Neue Lösungen bietet dagegen das Unternehmen CloudCheckr, die über integrierte Sicherheitskonfigurationen und eine Aktivitätsüberwachung für Multi-Cloud-Umgebungen verfügen. Sie enthalten außerdem eine große Anzahl von automatisierten Konfigurations- und Sicherheitsprüfungen, welche die Cloud-Sicherheit stärken. Des Weiteren umfasst das Angebot Best-Practice-Checks, die es Unternehmen ermöglichen, Compliance-Vorgaben in verschiedenen Branchen zu erfüllen, indem automatisch und regelmäßig nach gemeinsamen Schwachstellen gesucht wird.

Ferner analysieren Tools die Protokolle und geben Warnungen aus, wenn Anwender in einer Cloud-Infrastruktur die Governance-Richtlinien nicht einhalten oder sonstige Bedrohungen auftreten. Automatisierungen dieser Art sind auch ein Schlüsselmerkmal für die Sicherung von Cloud-Infrastrukturen, da eine manuelle Verwaltung angesichts des enormen Umfangs des Cloud-Computing sich nicht als praktikabel erweist.

E-Book zum Thema

DevOps und Security

eBook DevSecOps
eBook „DevOps und Security“
(Bild: Dev-Insider)

Sicherheit sollte eng mit den DevOps-Prozessen integriert und gleich zu Beginn der Entwicklung berücksichtigt werden. Die Frage lautet, wie man eine Veränderung am besten umsetzt, die Organisation und die Unternehmenskultur betrifft.

Dieses eBook umfasst die folgenden Themen:

  • Wozu DevOps um Security erweitern?
  • DevSecOps, SecDevOps und DevOpsSec
  • DevSecOps: So geht es in der Praxis

(ID:47833817)