Was ist DevSecOps? Sicherheit in DevOps integrieren

Jetzt Artikel teilen:

DevSecOps ist ein Ansatz, Sicherheit zum festen und durchgängig integrierten Bestandteil von Anwendungsentwicklung und IT-Betrieb zu machen.

Die digitale Transformation und die zunehmende Nutzung von Cloud-nativen Technologien verändert Unternehmen und Wirtschaft nachhaltig. Software und ihre ständige Verfügbarkeit wird zunehmend zum Rückgrat alltäglicher Geschäfts- und Arbeitsabläufe. Entsprechend haben sich die Tätigkeitsfelder von Softwareentwicklung und IT-Betrieb in den letzten Jahren verändert. Anwendungen müssen heute agil und schnell entwickelt, veröffentlicht und aktualisiert werden. Und die dazu benötigte Infrastruktur muss flexibel anpassbar und hochverfügbar sein.

plus.io Multi-Cloud-Plattform

Die Multi-Cloud-Plattform plus.io

Modulare Lösungen und optimale Infrastrukturen in der europäischen Cloud für Ihre DevOps- und DevSecOps-Projekte.

Jetzt mehr erfahren

Der Entwicklungsprozess im Bereich Software hat sich von Jahren auf Monate verkürzt. Und Softwareaktualisierungen werden inzwischen nicht mehr nur alle paar Monate, sondern fast täglich vorgenommen. Diese Entwicklungen führten und führen auch innerhalb von Organisationen zu einem Kulturwandel, der ein zunehmendes Aufbrechen bestehender Silostrukturen erfordert. Heute müssen Transparenz und teamübergreifende Zusammenarbeit deutlich mehr im Fokus der Unternehmenskultur stehen.

DevOps muss sich zu DevSecOps weiterentwickeln

Den Anfang dieses kulturellen Wandels machte im IT-Bereich DevOps, also die Integration von Softwareentwicklung und IT-Betrieb. Denn die bisher übliche Trennung von Develop­ment und Operations passt längst nicht mehr zu den Anforderungen der digitalen Transformation. Das Ziel von DevOps war und ist es, traditionelle Silos zwischen Software und IT-Infrastruktur aufzubrechen. Das ermöglicht robuste und schnellere Releases von Anwendungen. Und hierfür ist die enge Zusammenarbeit zwischen Entwicklern und Operations-Team notwendig.

Doch das alleine reicht heute nicht mehr aus. Denn im Cloud-Zeitalter wird auch die Sicherheit zunehmend zur alltäglichen Geschäftsanforderung. Und damit muss sie auch zunehmend zur gemeinsamen Verantwortung agil zusammenarbeitender Teams werden. Security muss also ebenfalls so früh wie möglich und durchgängig in den Entwicklungs- und Bereitstellungsprozess eingebunden werden. Daher gilt es jetzt, den kulturellen Wandel weiter voranzutreiben und auch die Sicherheitsteams aktiv mit in den Prozess einzubinden. Dazu sollten Unternehmen beginnen, DevSecOps in ihrer Organisation zu etablieren.

DevSecOps - Security und DevOps

Quelle: Oracle Cloud Threat Report 2020

Sicherheit erfolgreich integrieren

Bei der traditionellen Softwareentwicklung lag die Sicherheit in der Regel am Ende der Entwicklungs-Pipeline. Das heißt, Security Checks waren meist die Aufgabe eines Spezialistenteams, das die Anwendung in der Endphase der Entwicklung auf Schwachstellen überprüfte. Da die Entwicklungszyklen entsprechend lang waren, stellte dies auch kein größeres Problem dar.

Doch im Rahmen agiler Methoden für die Softwareentwicklung haben sich die Release-Zyklen drastisch verkürzt. Zügige Entwicklungszyklen von Wochen oder Tagen sind jedoch nicht effizient, wenn die Sicherheitschecks am Ende liegen und viel Zeit kosten. Vielmehr bremsen veraltete Sicherheitskontrollen dadurch eine agile Entwicklung aus. Deshalb müssen Sicherheitsaspekte jetzt ebenfalls in jeder Phase des Lebenszyklus von Anwendung und Infrastruktur einbezogen und durchgängig integriert werden.

Dazu sollten Unternehmen zunächst ihre individuelle Risikotoleranz bestimmen und entsprechend eine Risiko-Nutzen-Analyse durchführen. Zudem sollten sie die gesamte Umgebung für Entwicklung und Produktion (Operation) in Augenschein nehmen. Das umfasst Versionskontroll-Repositorys, Container-Registrys, Continuous-Integration- und Continuous-Deployment-Pipeline (CI/CD) und API-Management (Application Programming Interface). Auch die Orchestrierung und Release-Automatisierung sowie die operative Verwaltung und Überwachung sind zu berücksichtigen.

DevSecOps = Sicherheitstests in jeder Phase des Lebenszyklus

Der Schlüssel für einen gelungenen DevSecOps-Prozess ist die Automatisierung wiederholter Aufgaben. Denn das Durchführen manueller Sicherheitschecks entlang der Pipeline ist viel zu zeitaufwendig. Darüber hinaus muss sich die Sicherheit an den Einsatz Cloud-nativer Technologien anpassen.

Microservices und Container ermöglichen es, Anwendungen in kleineren, inkrementellen Schritten zu entwickeln. Die Verwendung statischer Sicherheitsrichtlinien und Checklisten ist hier nicht mehr geeignet. Vielmehr gilt es, die Sicherheit in jeder Phase des Lebenszyklus von Anwendung und Infrastruktur zu integrieren.

Das umfasst Standardisierung und Automatisierung (Provisionierung, Rollout, Patches) sowie zentrales Identity- und Access Management. Zudem integrierte Security Scans für Container und die Isolierung von Microservices. Automatische Sicherheitstests sollten auch nach jedem Schritt in der CI/CD-Pipeline stattfinden. Hier können moderne Sicherheitstechnologien wie RASP (Runtime Application Self-Protection) und SCA (Software Composition Analysis) unterstützen.

RASP ist eine Sicherheitstechnologie, die währen der Ausführung einer Anwendung agiert, Security Checks durchführt und Angriffe innerhalb der Software abwehrt. Das soll sicherstellen, dass die eigentliche Laufzeitumgebung vor unerwünschten Änderungen und Manipulationen geschützt wird.

SCA führt eine detaillierte Untersuchung aller Open-Source- und Dritt-Komponenten durch, die in einer Anwendung genutzt werden. Damit lassen sich Schwachstellen im Code erkennen und beseitigen. Auch mögliche Compliance-Verstöße gegen Open-Source-Richtlinien sind damit leichter auffindbar.

Automatisierte Sicherheitstests decken Schwachstellen in den Anwendungskomponenten schon während der Programmierung auf. Diese können dann schnell und effizient behoben werden. Damit verhindern automatisierte Tests Sicherheitslücken systematisch schon vor der Implementierung der Software. Zusätzlich gilt es, bei der Infrastruktur eine Verschlüsselung auf der Transportebene zu gewährleisten und regelmäßig Prüfungen auf bekannte Schwachstellen durchzuführen.

Organisationskultur: ein kritischer Erfolgsfaktor für DevSecOps

Wie bei der Einführung von DevOps, wird die gelebte Organisationskultur auch bei der Weiterentwicklung zu DevSecOps der kritische Erfolgsfaktor sein. Denn nur wenn die DevOps-Teams die Sicherheitsaspekte und -vorgänge wirklich verstehen, wird eine nachhaltige Integration und teamübergreifende Zusammenarbeit funktionieren. Und nur so kann Sicherheit zur gemeinsamen Verantwortung aller involvierten Teams werden.

Laut dem Cloud Threat Report 2020 von Oracle und KPMG haben erst knapp ein Drittel der Befragten Sicherheitsaspekte in ihre DevOps-Prozesse integriert. 28 Prozent planen die konkrete Einführung und 33 Prozent evaluieren eine Einführung von Sicherheitsaspekten in die DevOps-Prozesse.

Für 46 Prozent der Befragten ist die Integration von Sicherheitskontrollen der Hauptgrund dafür, sich mit DevSecOps zu befassen.  Das macht deutlich, dass Unternehmen sich der Notwendigkeit von DevSecOps bewusst sind. Jetzt geht es darum, die Einführung kontinuierlich anzugehen und umzusetzen.

Der Weg zu DevSecOps schließt auch die Etablierung der passenden Cloud-Infrastruktur mit ein. Lassen Sie sich jetzt bei plusserver beraten.

Jetzt Artikel teilen:

Das könnte Sie auch interessieren