© alice-photo/Shutterstock.com
Einblicke für alle IT-Disziplinen durch umfassendes Monitoring

Sicherheit im Lifecycle mit DevSecOps


Während das Zusammenspiel von Development und Operations dank wachsender Erfahrungswerte immer runder läuft, meldet sich eine weitere wichtige IT-Disziplin zu Wort: Mitarbeiter, die für die Sicherheit einer Infrastruktur verantwortlich sind, wollen ebenfalls stärker in die holistische Betrachtung von technologischen Ökosystemen eingebunden werden. Mit DevSecOps setzt sich eine Denk- und Arbeitsweise durch, bei der die Sicherheit von IT-Infrastrukturen vom ersten Tag an über den gesamten Softwarelebenszyklus hinweg mitgedacht wird. Grundlegende Voraussetzung für ein wirkungsvolles Ineinandergreifen aller drei Disziplinen ist ein einheitlicher Blick auf zentrale Kennzahlen und alle sicherheitsrelevanten Signale.

Bei DevSecOps handelt es sich letztlich um die logische Weiterführung des DevOps-Gedankens: Unternehmen und IT-Teams, die die Vorteile einer engen Zusammenarbeit zwischen Entwicklung und Betrieb ausschöpfen wollen, dürfen das Thema Security nicht isoliert betrachten. Trotzdem ist es in den meisten Organisationen noch heute so, dass die Sicherheit einem speziell für diese Aufgabe eingerichteten Team zugewiesen wird. In Zeiten agiler und oft sehr schneller Softwareentwicklungen stellt die nachgelagerte Betrachtung von Security allerdings ein nicht unerhebliches Problem dar. Überholte Sicherheitsmethoden sind oft sehr statisch und reaktiv und können damit selbst die besten Entwicklungs- und Anwendungsprozesse ausbremsen.

Flexibilität schafft komplexe Strukturen

So wie Cloud Computing inzwischen vielerorts ein integraler Bestandteil moderner Architekturen geworden ist, entwickeln sich offene, API-basierte Ansätze ebenso zu einem grundlegenden Bestandteil zukunftsfähiger IT-Infrastrukturen. Je komplexer unsere technologischen Ökosysteme werden, umso wichtiger wird es sein, nahtlose, voll integrierte Prozesse und Lösungen sicherzustellen – eine Maxime, die zunehmend auch für Sicherheitsmaßnahmen gilt. Bei DevSecOps geht es deshalb um mehr als nur darum, ein Notebook, ein einzelnes Server-Rack oder irgendeinen spezifischen Log-in abzusichern. DevSecOps zielt auf den Schutz kompletter Infrastrukturen – insbesondere dann, wenn sie sich auf dem Weg in die Cloud befinden. So liegt der zentrale Vorteil Cloud-basierter Migrationsvorhaben zwar in der neu gewonnenen Flexibilität; ihre Achillesferse ist allerdings die Komplexität, die hieraus entsteht. Die vielschichtige Natur und damit verbundene steigende Komplexität moderner IT-Architekturen macht verwundbar und stellt eine regelrechte Einladung für Hacker und externe Angreifer dar. Deshalb müssen Cloud-Infrastrukturen, die den Prinzipen des DevOps folgen, auch in Fragen der Systemsecurity überdacht und holistisch betrachtet werden. DevSecOps liefert einen ausgesprochen vielversprechenden Lösungsansatz, um die Anforderungen einer ganzheitlichen Verankerung von Sicherheitspraktiken zu realisieren.

Hindernisse durch offene Kommunikation abbauen

Unternehmen, die ihre IT-sicherheitsrelevanten Prozesse modernisieren und übergreifende DevSecOps-Strukturen etablieren wollen, werden sich zunächst mit ausgesprochen menschlichen Hürden konfrontiert sehen. Sie sind in erster Linie kommunikativer Natur und können durch einen offenen Dialog und die Bereitschaft, voneinander zu lernen, sehr gut gelöst werden. Eine dieser Herausforderungen liegt im Development: Entwickler überführen Hunderte Male am Tag einzelne Softwaresequenzen in den operativen Zustand. Bei dieser Menge an Code hat das Securityteam keine Chance, jede einzelne Zeile zu überprüfen. Deshalb ist es so wichtig, dass die Entwickler selbst für sicherheitsrelevante Aspekte sensibilisiert werden und ihnen entsprechende Tools vom Securityteam für statische und dynamische Analysen zur Verfügung gestellt werden. Idealerweise sind sie in der Lage, potenzielle Schwachstellen und Angriffspunkte bereits in dem Moment zu erkennen, in dem sie produziert werden – und diese Erkenntnisse in einem offenen und lösungsorientierten Dialog mit den Kollegen vom gesamten DevSecOps-Team zu teilen, um den gewünschten Wissenstransfer zu erreichen.

Auf der anderen Seite dieser Medaille steht das Securityteam: IT-Sicherheitsverantwortliche sind traditionell darauf bedacht, ihre Tools in das Gesamtdesign ebenso wie in einzelne Anwendungen und Services einzubinden. Sie verfüg...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang