Entwicklung und IT-Betrieb optimal aufeinander abzustimmen, ist hilfreich – in diesem Punkt sind sich Unternehmen weitgehend einig. Die Vorteile liegen ebenfalls auf der Hand. Eine kürzere Time-to-Market, eine verbesserte Reaktionsfähigkeit und eine allgemein höhere Flexibilität der IT stärken die Wettbewerbsfähigkeit. Dennoch stimmt eine Studie von Sonatype* bedenklich. Sie bestätigt: Die Anzahl der Sicherheitslücken ist in den vergangenen Jahren um fast 50 Prozent gestiegen. 47 Prozent der befragten sagen gleichzeitig, dass Security-Teams oder -Richtlinien einen Hemmschuh für ihre Prozesse darstellen.

Schnelligkeit zulasten der Sicherheit?

Bei Software-Entwicklern dreht sich alles um Geschwindigkeit. DevOps verspricht in diesem Kontext eine schnelle, agile Entwicklung, die sich noch dazu ideal an Geschäftsprozessen orientiert. Auch die Bedürfnisse des IT-Betriebs und der Anwender lassen sich bei diesem Ansatz deutlich besser vereinen. Zusätzliche Optimierungen entstehen durch Automatisierungstools, die auf dynamischen Infrastrukturen basieren. Dieser ausgeprägte Fokus auf Schnelligkeit und Flexibilität hat jedoch auch Nachteile. Applikationen, die „mit der heißen Nadel gestrickt“ wurden, können schnell Sicherheitslücken aufweisen. Wer heute das „Sec“ nicht in DevOps integriert, geht also Risiken ein.

DevSecOps: mehrere Herausforderungen bei der Implementierung

Es gibt keinen festen Fahrplan für kombinierte Sicherheit und Agilität in Unternehmen. Dennoch existieren einige grundlegende Maßnahmen, die zur Einführung von DevSecOps beitragen. Zunächst gilt es, das Security-Testing nicht auf ausgereifte Applikationen zu beschränken, sondern im gesamten Entwicklungsprozess zu verankern. Entwickler müssen möglichst sofort ein Feedback zu erstelltem Code erhalten. Das übergeordnete Ziel ist es, Entwickler für Security-Themen zu sensibilisieren.

DevSecOps Bestandeile

Neben der menschlichen Komponente spielen technologische Fragestellungen eine wichtige Rolle. Im Vordergrund steht hier die Automatisierung von Security-Tests. Dies lässt sich durch verschiedene Ansätze wie dynamische und statische Analysen, Scripting und die Integration von Tests in bestehende Prozesse realisieren. Dieses Vorgehen, welches auch als Continuous Testing bezeichnet werden kann, ermöglicht es, Fehler früh zu identifizieren. Zu DevSecOps gehört aber auch die Absicherung des Produktivbetriebs. Hier greifen beispielsweise SIEM-Technologien zur 24/7-Überwachung von Infrastrukturen. Entsprechende Angebote befinden sich auch im Portfolio von Axians.

Container und Microservices: Fluch oder Segen für DevSecOps?

Um Continuous Integration und Continuous Delivery umzusetzen, bedienen sich DevOps mehrerer Technologien. Hierzu zählen insbesondere Container und Microservices. Was die Cyber Security betrifft, so sind hier spezielle Aspekte zu beachten. Container ermöglichen zwar eine schnelle Entwicklung und Implementierung, bieten jedoch auch weniger Schutz und Isolation. Nicht selten beinhalten Container-Images Sicherheitslücken, weshalb sie stets überwacht werden sollten.

Auch die Vergabe von Root-Berechtigungen in Containern stellt ein Risiko dar und sollte daher nur sehr eingeschränkt erfolgen. Empfehlenswert ist der Einsatz von Sicherheits-Scannern, die speziell für Container entwickelt wurden. Axians bietet an dieser Stelle eine Lösung, welche Sicherheitslücken von Containern im gesamten Build-Prozess transparent macht.

Enthalten Container Microservices, so stellt dies ein weiteres beliebtes Angriffsziel für Kriminelle dar. Die Isolation voneinander und vom Netzwerk ist daher besonders bedeutsam. Nicht zuletzt sollte die Kommunikation zwischen Servern und Apps stets verschlüsselt erfolgen. Die Microservices selbst sollten durch Zugangskontrollen und Authentifizierungsmechanismen geschützt werden.

Außerdem sei die API-Sicherheit erwähnt. Hier hat die Integration sicherer API-Gateways eine hohe Priorität. Sie verhindern, dass Clients über öffentliche Endpoints Anfragen an einzelne Microservices stellen können.

Individuelle Strategie erforderlich

Ein pauschal empfehlenswertes DevSecOps-Modell existiert nicht. Vielmehr müssen Prozesse und Technologien identifiziert werden, die die individuellen Anforderungen eines Unternehmens abdecken. Zudem kommt der Sensibilisierung sämtlicher Prozessbeteiligter im Hinblick auf die Cyber Security besondere Bedeutung zu. Gelingt es, diese Anforderungen zu erfüllen, so ist DevSecOps ein probater Ansatz zur Kombination von Entwicklung, Betrieb und Anwendungssicherheit.

 

Whitepaper DevSecOps

Whitepaper DevSecOps: Cyber Security als integraler Bestandteil von Entwicklung und Betrieb