Eine komplizierte Gleichung DevOps, Analytik und Sicherheit

Ein Gastbeitrag von Ram Chakravarti * |

Anbieter zum Thema

Mit dem DevOps-Umbruch müssen Unternehmen einen Schwerpunkt auf die Stärkung des Servicemanagements legen. Das hat zur Entwicklung des Site Reliability Engineering zur Unterstützung des IT-Betriebs geführt.

Besseres Teamwork und KI-gestützte Analysen helfen dabei, den richtigen Mix aus Sicherheit und Agilität zu finden.
Besseres Teamwork und KI-gestützte Analysen helfen dabei, den richtigen Mix aus Sicherheit und Agilität zu finden.
(© kentoh - stock.adobe.com)

Site Reliability Engineering (SRE) ist ein Set von Grundsätzen und Praktiken, die Aspekte des Software-Engineerings umfassen und auf Probleme der IT-Infrastruktur und des IT-Betriebs (I&O) angewendet werden. Das Hauptziel ist die Schaffung hochskalierbarer und hochzuverlässiger Softwaresysteme.

Anstatt sich auf einen Bereich zu konzentrieren, arbeitet das SRE-Team an betrieblichen Aktivitäten (z. B. Incident Management) und Entwicklungsaufgaben (z. B. Entwicklung von Funktionen, automatische Skalierung und Automatisierung manueller Aufgaben).

Um eine echte DevOps-Umgebung zu unterstützen, sollte jedoch die Implementierung und Praxis des umfassenderen Service and Site Reliability Engineerings (SSRE) im Vordergrund stehen. SSRE schafft ein Gleichgewicht zwischen Agilität und Qualität und stützt sich sowohl auf das IT Service als auch auf das Betriebs-Management (ITSM/ITOM).

Dieses Gleichgewicht erfordert die Orchestrierung mehrerer Datensätze im gesamten ITSM/ITOM und die Anwendung von Algorithmen des maschinellen Lernens (ML), um differenzierte Zuverlässigkeitsanalysen zu liefern. Diese Erkenntnisse ermöglichen es dem SSRE dann, neue Funktionen mit einem hohen Maß an Vertrauen zu veröffentlichen und gleichzeitig ein Gleichgewicht zwischen Agilität und Qualität herzustellen.

Wie spielen DevOps und ITSM gut zusammen?

Während die Teams im agileren DevOps-Bereich eher autonom sind und sich auf ihre eigenen Produkte konzentrieren, sollten Unternehmen mit ihnen zusammenarbeiten, um eine umfassendere Kapazitätsoptimierung und -überwachung zu implementieren und sie in das Service Management System einzubinden.

Die Implementierung von Swarming ist ein guter Weg, um Serviceteams mit DevOps in Einklang zu bringen. Durch Swarming wird das typische mehrstufige Supportmodell, bei dem ein Problem so lange weitergereicht wird, bis es gelöst ist, in ein Modell umgewandelt, bei dem eine Person, die die richtigen Mitarbeiter*innen zur Zusammenarbeit hinzuzieht, die Lösung findet.

Für eine erfolgreiche Umstellung auf ein Swarming-Modell sollten Sie so viele banale Aufgaben wie möglich automatisch erledigen (z. B. das Zurücksetzen von Passwörtern), damit sich Ihr Support-Team auf die großen Herausforderungen konzentrieren kann. Zudem sollten Sie über ein robustes Echtzeit-Kollaborationssystem (z. B. Teams oder Slack) verfügen, um Ressourcen miteinander zu verbinden.

Mit Swarming- und wertschöpfenden Teamwork-Modellen kann die Serviceorganisation besser mit dem DevOps-Team zusammenarbeiten, um Informationen auszutauschen, Wissen zu schaffen und zu verhindern, dass die Entwickler*innen mit Support-Tickets überhäuft werden. Entscheidend ist jedoch, dass diese Interventionen und Kooperationen zielgerichtet sind und einen Mehrwert schaffen, damit der Fluss der DevOps-Prozesse nicht unterbrochen wird.

Eine Sache, auf die Sie bei der Implementierung von Teamarbeit mit Mehrwert achten sollten, sind Leistungsmetriken, die möglicherweise nicht miteinander vereinbar sind. Wenn Developer Anreize erhalten, so häufig wie möglich Code zu liefern, aber Betriebs- oder IT-Security-Personal nur an der Betriebszeit oder an Produktionsvorfällen gemessen werden, ist es unwahrscheinlich, dass sie sich einig sind.

Geben Sie allen Angestellten eine gemeinsame Verantwortung für die Gesamtziele, die auf standardisierte Weise gemessen werden, unabhängig von der Stellenbezeichnung oder der funktionalen Rolle. Durch die Förderung der wertschöpfenden Teamarbeit zwischen den DevOps- und Service-Organisationen ermöglichen Sie auch eine umfassendere Risikoanalyse, um Probleme zu finden, die innerhalb der Toolchain möglicherweise nicht klar waren, und zwar mit einem Prozess, der im gesamten Unternehmen eingesetzt werden kann.

Was ist mit der Sicherheit?

Jede Person in einer IT-Organisation sollte auch für die Sicherheit verantwortlich sein, unabhängig von ihrer Rolle. Diese Philosophie hat die natürliche Entwicklung von DevOps zu DevSecOps geleitet. Eine Möglichkeit, DevSecOps zu implementieren, ist die Nutzung von Technologien wie künstlicher Intelligenz (KI).

Mithilfe von KI können Sie Datensätze mit Kontext anreichern, die Erkenntnisse liefern, Maßnahmen vorantreiben und ITOps für die komplexesten Unternehmen optimieren. Durch den Einsatz von KI können Sie auch Anomalien im Rahmen der Analyse des User- und Entitätsverhaltens erkennen und so noch bessere Erkenntnisse gewinnen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Interessant ist, dass DevSecOps für jede Branche anders aussehen kann. Beispielsweise wird es bereits erweitert, um Bereiche der Sicherheit, Kritikalität und Regulatorien für Branchen wie öffentliche Versorgungsunternehmen einzubeziehen. Wenn es um Strom, Wasser und kritische Infrastrukturen geht, muss die Sicherheit selbstverständlich in alle Facetten der Organisation einbezogen werden – und dazu gehört auch die Software.

Die Integration besserer Sicherheitsprüfungen in den Entwicklungsprozess kann zu sichererem Code führen, wenn er für die Produktion freigegeben wird. Die Umsetzung kann jedoch eine doppelte Herausforderung darstellen, da diese Unternehmen oft ohnehin schon zögerlich sind, sich weiterzuentwickeln – zum Beispiel bei dem Wechsel von On-Premises auf Cloud.

Angesichts der strengen Vorschriften und Prozesse kann jede Veränderung schwierig sein. Vieles davon ist kulturell bedingt, so dass die Einführung einer gemeinsamen Verantwortung für die Gesamtziele dazu beitragen kann, die kulturellen Probleme zwischen Entwicklungs-, Betriebs- und Sicherheitsteams auszugleichen.

Fazit

Damit DevOps richtig funktioniert, müssen Unternehmen ein ausgewogenes Verhältnis zwischen organisatorischen, betrieblichen und technischen Aspekten, einschließlich der Sicherheit, in ihrer gesamten Infrastruktur erreichen. Unternehmen müssen eine Perspektive dafür entwickeln, wie viel genug ist, wenn es um die Sicherheit geht (d. h. das Niveau der erforderlichen Sicherheitskontrollen auf der Grundlage der Risikobereitschaft und der Abwägung zwischen Geschwindigkeit und Qualität).

Ram Chakravarti
Ram Chakravarti
(Bild: Claire Mcadams Photography)

Parallel dazu sollten DevOps-Teams Strategien wie die Automatisierung von Sicherheitstests als Teil der kontinuierlichen Integration und die Automatisierung von Sicherheitsupdates als Teil eines umfassenderen Schwachstellen- und Compliance-Managements übernehmen. Die Einführung dieser Praktiken in Häppchen ermöglicht es Unternehmen, neue Softwarelösungen im gewünschten Tempo und in der angestrebten Qualität erfolgreich einzuführen und so das DevOps-Nirwana zu erreichen.

* Ram Chakravarti ist Chief Technologie Officer bei BMC Software.

(ID:47973178)