IT-Sicherheitsteams müssen ihre Arbeitsmethoden überdenken - mit DevOps werden die neuen Wege möglich. [...]
Das Wichtigste aber ist, dass das Risiko eines Datenabflusses und die Zeit, bis ein solcher erkannt wird, deutlich abnehmen. Wer früh beginnt, kann viel einfacher Policies und Abläufe festlegen, wie im Fall der Fälle zu reagieren ist und so leichter risikobasierte Entscheidungsbäume definieren. Die potenzielle Geschäftsunterbrechung bleibt so minimal.
DEVOPS TREIBEN SICHERE INNOVATION UND AGILE ENTWICKLUNG
Immer mehr Unternehmen setzen auf agile Softwareentwicklung (ASD) – es ist bereits zum De-Facto-Standard in weiten Teilen der Geschäftswelt geworden. Was häufig aber noch fehlt, ist der Security-Aspekt – Schnelligkeit und Integrität sind ohne Sicherheit kaum etwas wert. Für agile Entwicklung braucht es eine saubere Sicherheits-Integration, um optimale Ergebnisse zu erzielen. Je näher die Security-Teams an den Entwicklern dran sind, desto einfacher wird logischerweise auch die sichere Entwicklung. Mit DevOps-Methoden lassen sich Security-Tests nahtlos in die Entwicklungs-Sprints einbauen und neue Features direkt absichern. Innovation immer auch unter Security-Gesichtspunkten zu betrachten, hilft dem Business enorm und stellt das Sicherheitsteam als unabdingbaren Partner im Software-Entwicklungsprozess auf.
DANK DEVOPS GENIESST AUTOMATISIERUNG HÖCHSTE PRIORITÄT
DevOps werden durch den Wunsch angetrieben, überall dort einen stromlinienförmigen Ansatz in die Software-Entwicklung zu bringen, wo sich Prozesse automatisieren lassen. Durch die Arbeit mit Manager-Kollegen und Chefentwicklern können Security-Teams automatisierte Prozesse entwickeln, die die Überprüfung von Sicherheitsfunktionen und -policies mit einschließen, unsichere Komponenten und regulatorische Schwachstellen aufspüren und sichere virtuelle Maschinen ans Laufen bringen.
Das führt zu einem völlig neuen Level der Zusammenarbeit, den die Security-Verantwortlichen vorher nicht kannten. Eine statische Code-Analyse-Lösung beispielsweise in einen automatisierten Entwicklungsprozesss zu überführen hilft enorm dabei, dass nur solcher Programmcode genutzt werden kann, der ein bestimmtes Niveau an Sicherheit, regulatorischen und Compliance-Standards erreicht hat.
DEVOPS MACHEN SECURITY ZUR JEDERMANN-AUFGABE
Besonders herausfordernd an DevOps ist, dass sich nun jeder innerhalb des SDLC mit Security beschäftigt. Eingespielten Security-Teams mag es zunächst Angst machen, dass sie Teile ihrer Aufgaben an andere Kollegen abgeben – es kann aber helfen, den Security-Verantwortlichen einige Lasten abzunehmen und ihnen Kopf und Hände für andere pressierende Aufgaben freizumachen. Zum Beispiel vermeidet derjenige, der das Security-Testing in einem sehr frühen Stadium der Entwicklung einbaut, den häufig auftretenden Fall, dass zum Zeitpunkt des Releases noch immer keine Prüfung stattgefunden hat.
DEVOPS VERBESSERN MONITORING UND MESSGRÖSSEN
Kurze Entwicklungs-Sprints machen kontinuierliche Verbesserungen auch hinsichtlich der Security möglich. Im Vor-DevOps-Zeitalter waren Monitoring und IT-Sicherheit zwei völlig unterschiedliche Themen. Sobald Security in den Entwicklungsprozess integriert ist, lässt es sich nun ebenfalls in bestehendes Software-Monitoring und -Messgrößen einbauen. Im Ergebnis werden sich neue Security-Metriken besser mit Dev(elopment), Ops(Operations) und Management verbinden.
Beispielsweise lassen sich mit SecDevOps drei Viertel aller Bugs schon früh im Entwicklungsprozess aufspüren – dadurch ist sichergestellt, dass Bugs, die eine verzögerte Auslieferung verhindern, nicht nur gefunden, sondern auch quantifiziert werden.
DEVOPS ELIMINIEREN FLASCHENHÄLSE
Ohne DevOps müssen Nutzer bildlich gesprochen einem Pfad von Informationen folgen und durch brennende Reifen springen, um die richtigen Kontakte für Hilfestellungen bei bestimmten Problemen zu finden. Weil DevOps die Kommunikationskanäle zwischen Gruppen öffnen, machen sie auch automatisch den Weg frei zu diesen Kontaktpunkten und helfen bei der sofortigen Problemlösung. Neben dem Kommunikationsaspekt stellt die Weiterbildung eine Kernkomponente von DevOps-Programmen dar. Die bereits erwähnte Puppet Labs-Studie brachte auch hervor, dass erfolgreiche Unternehmen dank DevOps 50 Prozent weniger Zeit mit Security-Themen verbringen als „Low-Performer“. Zudem schaffen sie es, dass die IT-Sicherheit im Voraus genehmigte, einfach konsumierbare Bibliotheken, Pakete, Werkzeuge und Prozesse für Entwickler und IT-Mitarbeiter bereitstellt, die sich einfach benutzen lassen.
Wenn Development und Operations eine größere Verantwortung für den sicheren Quellcode übernehmen, haben die Entwickler mit Interesse an Security zu guter Letzt die Möglichkeit, ihre Expertise in diesem Bereich auszubauen – über interne Trainingsprogramme beispielsweise, die durchaus auch spielerisch sein können, lässt sich das IT-Sicherheits-Wissen des Entwicklerteams verbessern.
*Ryan Francis, arbeitet als leitender Redakteur für die CW-Schwesterpublikationen Network World und CSO und Simon Hülsbömer, ist leitender Redakteur der Computerwoche.de
Be the first to comment