Investitionen in der Cloud vollumfänglich absichern DevSecOps in Multi- und Hybrid-Cloud-Umgebungen
Anbieter zum Thema
Traditionelle Sicherheitsstrategien können sich im DevOps-Kontext als hinderlich erweisen. Die Empfehlung lautet deshalb, IT-Sicherheit direkt in den Entwicklungslebenszyklus zu integrieren. Aber was bedeutet das für die Unternehmen konkret?

Laut Gartner beliefen sich die weltweiten IT-Ausgaben im Jahr 2022 auf 4,5 Billionen US-Dollar – das entspricht einem Anstieg von 5,1 Prozent gegenüber dem Vorjahr. Ein großer Teil davon entfällt auf die Migration in die Cloud: Bis zum Jahr 2025 wird beispielsweise die Hälfte der Unternehmens-IT in die Cloud verlagert.
Cloud Computing stellt Unternehmen vor große Herausforderungen, da die meisten Sicherheitstools und -konzepte nicht für die Cloud entwickelt wurden. Security-Verantwortliche müssen sich deshalb durch umfangreiche Protokolle, übermäßig viele Alerts und diverse Tools durcharbeiten, da die zugrunde liegende Infrastruktur sehr komplex ist. Doch bietet Cloud Computing auch Chancen, wie z. B. die Möglichkeit der bedarfsgerechten, schnellen Skalierung und der Arbeit an langfristigen Projekten.
In Multi-Cloud- oder Hybrid-Cloud-Umgebungen sind Anwendungen und Daten über verschiedene Infrastrukturen und Systeme verteilt, was sie anfälliger für interne und externe Bedrohungen macht. Die Security-Teams stehen daher vor der schwierigen Aufgabe, die Sicherheit aller Aspekte der Pipeline und der Software-Lieferkette zu gewährleisten.
Für viele Unternehmen ist es von entscheidender Bedeutung, dass DevOps-Teams effizient arbeiten können, ohne dass die Sicherheit darunter leidet. Und ebenso ein entscheidender Faktor, um sich vom Wettbewerb abzuheben. DevOps-Teams können durch traditionelle Sicherheitsrichtlinien und -ansätze behindert werden, was zu Reibungen zwischen Sicherheits- und Entwicklungsteams führt.
Erschwerend kommt der momentane Fachkräftemangel im Bereich der Cybersicherheit hinzu. Unternehmen können nicht immer die Fachkräfte finden bzw. halten, die sie brauchen, um sicherzustellen, dass die Nutzung der Public Cloud sowohl sicher als auch effizient ist. Doch wie können Unternehmen sicher in Cloud-Umgebungen investieren und gleichzeitig die Belastung ihrer IT-Teams verringern?
Der DevSecOps-Ansatz
Für die meisten, wenn nicht sogar für alle Unternehmen in allen Branchen ist die Implementierung eines DevSecOps-Ansatzes die Lösung. Diese Praxis ermöglicht eine kontinuierliche Zusammenarbeit zwischen Entwicklern, Operations- und Security-Experten.
Auf diesem Weg lässt sich sicherstellen, dass jeder am Softwareentwicklungsprozess Beteiligte von Anfang an für die Sicherheit verantwortlich ist und diese nicht erst im Nachhinein „darübergelegt“ wird. Die Entwicklung hin zu DevSecOps ist durchaus lohnenswert, sie bleibt jedoch nicht ohne Herausforderungen. Es dauert eine gewisse Zeit, bis der neue Ansatz akzeptiert wird.
Mit den richtigen Werkzeugen Reibung vermeiden
Um einen DevSecOps-Ansatz erfolgreich umzusetzen, müssen Teams in der Lage sein, schnelle und sichere Deployments zu gewährleisten. Schwachstellen im Anwendungscode, in Container-Definitionen und Code-basierten Infrastrukturen (Infrastructure as Code, IaC) sollten frühzeitig erkannt und automatisiert werden.
Die Implementierung automatisierter Cloud-Sicherheit hilft, manuelle Aufgaben zu ersetzen und Reibungsverluste zu verringern. So können Entwickler Fehlkonfigurationen im Code erkennen, bevor sie überhaupt übertragen wurden, und nicht erst während der Produktion.
Ein effektiver Einsatz von DevSecOps-Methoden und der richtige Mix aus technischen Tools kann ein Unternehmen bei der Erkennung von Anomalien, der Generierung von Warnmeldungen und der plattformübergreifenden Problembehandlung unterstützen. Dies hilft Unternehmen letztlich, Produkte schneller zu entwickeln und die stark beanspruchten Sicherheitsteams zu entlasten, da das Risiko von Schwachstellen und Fehlkonfigurationen in Software und Cloud-Infrastrukturen von vornherein geringer ist.
DevSecOps ist die Zukunft
Sichere Innovationen werden zum Schlüssel, um sich einen Wettbewerbsvorteil zu verschaffen. Die Sicherheit wird deshalb immer weiter „nach links“ in den Entwicklungsprozess verlagert, um sicherzustellen, dass sie zu einem Standardaspekt des Deployment wird.
Letztlich kann DevSecOps Unternehmen bei der Umstellung auf die Cloud und bei der Arbeit an längerfristigen, wirkungsvolleren Projekten helfen. Während das Bewusstsein für die Leistungsfähigkeit von DevSecOps zunimmt, liegt es nun in der Verantwortung, die nahtlose Umsetzung durch die richtige Kultur und die richtigen Tools sicherzustellen.
DevSecOps richtig umzusetzen, ist von Anfang an die Zusammenarbeit und die Zustimmung der Teams entscheidend. Dabei ist es wichtig, das Verständnis dafür zu fördern, dass die Sicherheit während des gesamten Software-Lebenszyklus ein zentraler Aspekt sein muss. Die richtigen Tools und/oder Plattformen können diese Denkweise und kulturelle Entwicklung beschleunigen.
* Ryan Sheldrake ist Field CTO bei Lacework.
(ID:49014692)