Geschwindigkeit vs. Sicherheit

„Mit DevOps können nur Maschinen mithalten“

| Redakteur: Stephan Augsten

Kevin Bocek „Wenn Sicherheitsteams nicht auch zu Anhängern von DevOps werden, dann werden sie in Zukunft irgendwann sicherlich als Dinosaurier gelten.“
Kevin Bocek „Wenn Sicherheitsteams nicht auch zu Anhängern von DevOps werden, dann werden sie in Zukunft irgendwann sicherlich als Dinosaurier gelten.“ (Collage: Venafi / kpmalinowski.pl - Freestocks.org / CC0)

DevOps und agile Methoden scheinen auf den ersten Blick unvereinbar mit dem Kundenwunsch nach mehr Sicherheit in der Anwendungsentwicklung. Dev-Insider hat sich mit Kevin Bocek, VP Security Strategy und Threat Intelligence bei Venafi, über diese Problematik unterhalten.

Dev-Insider: DevOps ist aus dem Verlangen nach einer effizienteren und schnelleren Software-Entwicklung und -Bereitstellung entstanden. Wie lässt sich das mit eher als Hemmschuh empfundenen Sicherheitsanforderungen in Einklang bringen?

Kevin Bocek: Natürlich stehen sie im Widerspruch zueinander. Es ist wie bei einem Formel-1-Auto: Auf der einen Seite bringt es höchste Leistung, auf der anderen kann es auch extrem unsicher sein. Aber mit konzentrierter Anstrengung und Teamwork können DevOps integrierte Sicherheit bieten und die gute Nachricht ist, sie werden hochautomatisiert und maschinenkontrolliert sein und nicht anfällig für menschliches Versagen.

Dev-Insider: Insbesondere die Software-Entwickler genießen den zweifelhaften Ruf, sich nicht genügend um die Sicherheit zu kümmern. Glauben Sie an einen kurz- bis mittelfristigen Gesinnungswandel oder ist dieser sogar schon im Gange?

Bocek: Der Wechsel steht bevor, DevOps gehörte bis vor kurzem zu den Fremdworten für Sicherheitsexperten, aber Sicherheitsteams sind dabei aufzuholen und zu verstehen, dass DevOps die Geschwindigkeit erhöhen, ohne neue Kosten für die Sicherheit zu verursachen. Sicherheitsteams beginnen damit zu begreifen, dass die Adaption des DevOps-Konzepts ihnen dabei hilft, ihren eigenen Prozess zu beschleunigen, ohne mehr Geld und Personal einsetzen zu müssen.

Dev-Insider: Ist es mit Blick auf die DevOps-Idee dabei wichtiger, den Software-Entwicklern aktiv zu schulen und umzuerziehen? Oder sollte man lieber die Teams so umstrukturieren, dass jeweils immer mindestens ein Entwickler, ein Operator und ein Sicherheitsexperte zusammenarbeiten?

Bocek: Nein, ich glaube nicht, dass dies notwendig ist, es geht mehr darum, dass Sicherheitsleute ein Verständnis von DevOps bekommen müssen. Die Sicherheit muss DevOps sicherer und schneller machen. Es ist das gleiche Bild des bereits erwähnten Formel-1-Wagens: das Ziel besteht darin, es gleichzeitig immer schneller und sicherer zu machen, so dass auch die Fahrer geschützter und sicherer sind.

In Bezug auf den zweiten Teil der Frage lautet die Antwort ebenfalls nein, das wäre ineffizient. Sicherheit entwickelt keine Anwendungen. Sicherheit ist ein besonderes Fachwissen, es muss mehr automatisiert werden und sollte nicht mehr menschlich zentriert sein. Das ist sicheres Denken wie DevOps.

Dev-Insider: Welche sonstigen Möglichkeiten haben Unternehmen, gerade wenn sie nicht die personellen Ressourcen haben, ihre Entwickler zu mehr Sicherheit anzuhalten?

Bocek: Das ist eigentlich der Punkt. Es sollte nicht mehr Investitionen in die Sicherheit geben, DevOps-Teams müssen dem Mantra folgen, schnell zu sein. Deshalb setzen wir Maschinen ein, die auch Sicherheitsaufgaben übernehmen. Sie können immer mehr Anwendungen, Maschinen, Daten und letztlich Menschen nicht einfach allein durch mehr Personal schützen (zumal diese Experten rar gesät sind). Wir brauchen mehr automatisierte Sicherheitsprozesse, die die Arbeit für uns erledigen. Nur Maschinen können mit der Geschwindigkeit von DevOps Schritt halten. Aber wir brauchen natürlich intelligente Leute, die die Maschinen anlernen und korrigieren können.

Dev-Insider: Venafi gibt mit digitalen Zertifikaten und Signaturen vor allem auf Seiten der Maschinen- und Container-Identitäten eine Hilfestellung. Warum sollten Entwickler während der Programmierung und bei Pre-Builds nicht eigens ausgestellte Identitätsnachweise verwenden?

Bocek: Der Schutz der Maschinenidentität ist entscheidend. Aristoteles sagte in seiner Metaphysik, dass nichts ohne Identität existieren kann. Der kritische Teil von Zertifikaten und Maschinenidentitäten ist automatisierte Kontrolle, egal ob sie selbst signiert sind oder nicht. Ohne Kontrolle entsteht Anarchie, was wiederum dazu führt, dass neue Risiken und Schwachstellen in einem DevOps-Projekt entstehen.

Dev-Insider: Zum Schluss noch eine Einschätzung Ihrerseits: Ist die ganze Bewegung um DevOps, Containerisierung und Agilität für die Entwickler eher Fluch oder Segen?

Bocek: Das spielt keine Rolle, weil die Zukunft schon geschrieben ist. Die Mentalität ist dabei zu bleiben und der Trend wird sich nicht verändern, weil es praktisch ist. Wenn Sicherheitsteams nicht auch zu Anhängern werden, dann werden sie in Zukunft irgendwann sicherlich als Dinosaurier gelten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44704623 / Application Security)