AWS-Spezialisten in Sachen Sicherheit und Nachhaltigkeit Snyk und Devoteam auf dem AWS Summit 2022

Von Michael Matzer

Anbieter zum Thema

Auf dem AWS Summit 2022 stellten sich mehrere Unternehmen vor, die für Entwickler interessant sind. Dazu gehören Snyk mit seiner Security Platform und Devoteam mit seinen breit aufgestellten Consulting Services. Dev-insider unterhielt sich mit Unternehmen.

Der „A Cloud Loft“ von Devoteam soll in gemütlicher Atmosphäre zum Austausch einladen.
Der „A Cloud Loft“ von Devoteam soll in gemütlicher Atmosphäre zum Austausch einladen.
(Bild: Devoteam )

Die Snyk Developer Security Platform deckt vier Bereiche der Entwicklung und Konfiguration ab. Desweiteren kümmert sich Snyk um Application- und Security Intelligence, um das Nutzungserlebnis beim Entwickler zu verbessern.
Die Snyk Developer Security Platform deckt vier Bereiche der Entwicklung und Konfiguration ab. Desweiteren kümmert sich Snyk um Application- und Security Intelligence, um das Nutzungserlebnis beim Entwickler zu verbessern.
(Bild: Snyk )

Snyk deckt mit seiner Developer Security Platform vier Bereiche der Entwicklung und Konfiguration ab“, erläutert Frank Fischer, der bei Snyk (ausgesprochen wie „sneak“) für den Code verantwortlich ist. Die vier Bereiche (siehe Bild) sind Code allgemein, Infrastructure as Code (IaC), Open Source und Container. „Wir decken jeweils, wo möglich, die sechs Stationen des Software Developer Life Cycles (SDLC) ab: Code & CLI, Code-Management, CI/CD, Registry, Deployments und Reporting.“

Fischer gibt zu bedenken: „Je früher Snyks Kontrollmechanismus in diesem Lifecycle eingesetzt wird, desto größer ist die positive Wirkung und desto mehr Kosten können für Fehler eingespart werden. Je später Fehler gefunden werden, desto aufwändiger ist ihre Behebung.“ Und Quellen für solche Fehler gibt es immer häufiger. Man nehme nur einmal Open Source Code. „80 Prozent des Quellcodes heutiger Anwendungen ist Open Source. Aber dabei hat es in den letzten drei Jahren eine Verdopplung der Schwachstellen im Code gegeben. 78 Prozent der Schwachstellen gehen zurück auf indirekte Abhängigkeiten, also solche, die der direkte Anbieter gar nicht verantwortet.“ Dazu gehören auch Lizenzprobleme.

Dev-Teams seien u.a. für Sicherheit und Compliance zuständig, aber das gelinge nur, wenn sie diese Anforderungen auch effizient und skalierbar gewährleisten könnten. „37 Prozent der Entwickler arbeiten in punkto CI komplett ohne Security-Automatisierung. Automatisierung ist wichtig, denn sie und die Früherkennung (s.o.) verkürzen die Behebungszeit pro Schwachstelle um bis zu acht Stunden.“ Und das erhöhe die Produktivität pro Entwicklungsteams. Fischer lehnt sich weit aus dem Fenster: „Snyk deckt Schwachstellen doppelt so schnell auf wie andere Lösungen.“ Und davon gebe es einige. „Einer der Gründe für unseren Erfolg ist die Einbindung zahlreicher Partner in alle sechs Stationen des SDLC plus die Anbieter von PaaS- und Container-Lösungen.“

Container-Sicherheit

„Snyk kann auch Schwachstellen in Containern und Kubernetes direkt im Dev-Prozess aufdecken und beheben“, so Frank Fischer weiter. „Container werden zunehmend zum Standard in IT-Architekturen und somit zum neuen Risikoherd, denn die Prüfung auf Sicherheitslücken hinkt hinter der Entwicklung hinterher.“

Weltweit würden künftig drei Viertel aller Unternehmen Container in der Produktion ausführen, doch bereits 77 Prozent der tausend verbreitetsten Docker-Images wiesen bereits kritische Schwachstellen auf. In fünf führenden Linux-Distributionen für Container seien bereits über 4500 Sicherheitslücken gemeldet worden. 68 Prozent der Entwickler seien mit der Sicherheit von Container-Images betraut.: Ein Shift-Left, bei dem das Team nun auch die Runtime-Umgebung definieren und zugleich schützen muss.“

Aber neun der zehn am häufigsten genutzten Container-Images weisen mindestens 50 Schwachstellen auf. Die Frage lautet also: Wie kann ein Entwickler diese möglichst effizient beheben? „Der beste Ansatz besteht darin, so früh wie möglich im Dev-Prozess Sicherheitsbelange umzusetzen.“ Der Vorteil: kürzere Time-to-fix und weniger Angriffsfläche im Endprodukt.

IaC-Sicherheit

Weil auch die Infrastruktur als Code (IaC) fixiert wird, besteht ein zunehmender Fehler in einer falschen Konfiguration des Anwendung auf der jeweiligen Plattform, sei es Terraform oder AWS CloudFormation, Kubernetes oder Azure (ARM)“, berichtet Fischer. „Das kann dazu führend, dass beispielsweise die Inhalte von AWS S3 Buckets öffentlich einsehbar sind.“ Die Ursachen für solche Konfigurationsfehler sind häufig fehlendes Knowhow bei den Dev-Teams. Damit sie AppSec-Tools wie Snyk wirksam einsetzen können, müssen diese Tools mit anderen Wissensquellen und Werkzeugen integriert sein.“

Wie die US-Behörde NSA (National Security Agency) im Januar 2020 feststellte, stellten „CSPs zwar Tools für das Cloud-Konfigurationsmanagement zur bereit“, dennoch seien „Daten und Services in den meisten Clouds auch weiterhin in erster Linie aufgrund von Konfigurationsfehlern angreifbar.“ Fischer ergänzt: Snyk setzt auf Prävention statt Reaktion, indem es IaC-Sicherheit in die Hände der Dev-Teams legt.“ Die Sicherheitsprüfungen rechen von Terraform Cloud und CI/CD-Tools wie Atlassian bis hin zu SCM und IDE. „Atlassian und Salesforce setzen Snyk bereits mit Erfolg ein, wie man den beiden Case Studys entnehmen kann.“

Devoteam A Cloud

Das Beratungsunternehmen Devoteam aus Weiterstadt besteht seit 25 Jahren und zählt derzeit rund 8.000 Mitarbeiter in Europa und dem Nahen Osten. „Wir konzentrieren uns auf digitale Strategie, Tech-Plattformen und Cybersicherheit“, sagte der neue Country Manager Boro Milivojevic. Er ist zuständig für eines von drei Cloud-Teams, nämlich Devoteam A Cloud. Deren Namen beruht auf dem strategischen Partner Amazon Web Services und dessen Anfangsbuchstaben. „Daneben unterstützen wir unsere Kunden noch über unsere Sparte M Cloud für alle Fragen rund um Microsoft Azure und analog dazu mittels der Sparte G Cloud bei Themen in Zusammenhang mit der Google Cloud Platform.“ Devoteam A Cloud unterstütze Kunden auf Basis von 600 Zertifizierungen in vier AWS-Kompetenzen: Cloud-Migration, Sicherheit, Daten und Machine Learning.

Milivojevic ist seit Oktober 2021 für AWS und somit für die Sparte Devoteam A Cloud verantwortlich. Ab 2001 war er sechs Jahre lang IT-Projektleiter bei BMW, bevor er zwei eigene Firmen gründete. 2016 wechselte er zu AWS Deutschland, wo er weitere Fachkenntnisse erwarb. Er leitete die Abstimmung und Implementierung von langfristigen Transformationsprojekten.

Im Dezember 2021 hat Devoteam eine enge Partnerschaft mit AWS für zunächst vier Jahre abgeschlossen. Solche Transformationsprojekte sollen in ganz EMEA zusammen realisiert werden. Ziel sei es laut Milivojevic, die Kunden in die Lage zu versetzen, ihre „jeweilige Cloud-Implementierung zu beschleunigen und dabei den Mehrwert von AWS zu maximieren. Dazu wollen wir bis 2025 zusätzlich 1500 AWS-Cloud-Experten einstellen.“ Zusammen mit solchen Experten wollen die A Cloud von Devoteam und AWS Initiativen in den Bereichen Cloud-Migration, Sicherheit, Daten und Machine Learning entwickeln. Das Umsatzziel ist ehrgeizig gesteckt: „Wir wollen die Anzahl der Cloud-Projekte von Devoteam-Kunden, die zu implementieren sind, in den nächsten vier Jahren verdreifachen.“

Fachkräfte gesucht

Die Erwartungen für den genannten Umsatzzuwachs sind laut einer von Devoteam und IDC veröffentlichten Marktstudie berechtigt: „Die Ergebnisse verdeutlichen“, schreibt IDC, „dass derzeit nur 15 Prozent der Befragten auf EMEA-Ebene die letzte Phase ihrer Cloud-Entwicklung erreicht haben; sie gehören zur erfahrensten Anwenderkategorie, den sogenannten Cloud-Innovatoren. Von diesen 15 Prozent nutzen nur 17 Prozent die Cloud sowohl auf betrieblicher als auch auf strategischer Ebene.“ Dieser Anteil werde in den untersuchten 16 EMEA-Ländern bis 2023 auf 77 Prozent steigen. Die Cloud-Innovatoren seien die erfahrenste erfahrenste Nutzerkategorie, die Experimentatoren (36 Prozent) die unerfahrenste. Dazwischen liegen laut IDC die „Cloud-Optimierer“, die einen Anteil von 49 Prozent stellen.

Deutschland gehöre in Europa zu den primären Märkten, neben Frankreich, Großbritannien, Schweden, Portugal und Belgien. Hier sollen Experten eingestellt und ausgebildet werden, um die EMEA-Kunden lokal umfassend unterstützen zu können. Um dieses Ziel in Zeiten des Fachkräftemangels zu erreichen, habe Devoteam nach Angaben von Milivojevic die Devoteam Cloud Academy gegründet. Hier will das Beratungshaus Schulungen für 10.000 Personen anbieten: Kunden und Mitarbeitende.

Nachhaltigkeit: die sechste Säule

AWS hat Nachhaltigkeit kürzlich als sechste Säule in sein Well-architected Framework mit Best Practices aufgenommen. Nachhaltigkeit muss von jedem Unternehmen in Europa erfasst, analysiert und nachgewiesen werden. Devoteam hat Ende März reagiert und bietet mit der „Cooking Class Sustainability“ umfassende (Rezept-) Ideen für eine nachhaltige Digitalisierungsstrategie. „Im Rahmen der On-Demand-Inhalte“, so Milivojevic, „erfahren Interessierte von drei Experten auf dem Gebiet Nachhaltigkeit, welche Werkzeuge und Technologien wertvolle Assets im Rahmen der digitalen Transformation darstellen und zugleich das Potenzial bieten, den CO2-Fußabdruck deutlich zu schmälern.“

Die drei „Köche“ sind Hans Lindeman, Country Managing Director Norway und Director of Sustainability Enabled by Digital von Devoteam, Joerg Hambueckers, GPS Sustainability bei Microsoft, sowie Fabrice Neiman, Deputy Director Sustainability Enabled by Digital bei Devoteam. „Gemeinsam diskutieren die drei Experten nicht nur die Themen Nachhaltigkeit und Digitalisierung; sie gehen im Rahmen des neuen Formates auch auf praxisnahe Beispiele und Best Practices ein“, erläutert Milivojevic. Nicht nur AWS verfüge neben weiteren Tools über einen Customer Carbon Footprint-Rechner, sondern auch Microsoft einen Carbon Calculator.

A Cloud Loft

Kurz vor dem AWS Summit Anfang Mai hat Devoteam am 25. April 2022 erstmals die digitalen Pforten seines virtuellen A Cloud Loft eröffnet. Während der Live-Sessions, Tech Talks und Hands-on-Workshops konnten Interessierte die Vorzüge der AWS Enterprise-Cloud-Plattform entdecken. Im Zentrum des A Cloud Loft standen dabei die Live-Sessions, die nun auch On-Demand verfügbar sind. In diesem Rahmen haben Experten, Verantwortliche und Interessierte die Möglichkeit, tiefer in die Themen Serverless und Microservices einzusteigen.

„Unser A Cloud Loft ist der perfekte Ort für Unternehmensverantwortliche, IT-Leiter und Interessierte, um mit Experten von Devoteam A Cloud und AWS in Kontakt zu treten und dabei mehr über die Möglichkeiten der AWS Enterprise-Cloud-Plattform zu erfahren“, erklärt Boro Milivojevic. In der „Gallery of Fame“ seien besonders hervorzuhebende Kundenprojekte und gelungene Zusammenarbeiten zur digitalen Unternehmenstransformation ausgestellt. Die „Whitepaper Library“ wiederum ermögliche einen tiefgreifenden Blick hinter die Kulissen und in die Funktionsweise von AWS-Technologien.

Das zentral gelegene „HR-Café“ biete Interessierten darüber hinaus die Chance, offene Stellen bei Devoteam A Cloud zu entdecken und so möglicherweise den Einstieg in die eigene Zukunft im Unternehmen zu planen. „In den digitalen Räumen des Lofts, bei jeder Live-Session und auch bei der Auswahl unserer Themenschwerpunkte spürt man, dass wir bei Devoteam A Cloud für die Technologien und Lösungen von AWS brennen!“

(ID:48407198)