DevSecOps ist die logische Fortsetzung von DevOps: Security läuft hier parallel zu den anderen Prozessen. Der Computer-Sicherheitsexperte Bogdan Botezatu gibt fünf Tipps, wie man im Unternehmen einen DevSecOps-Ansatz verwirklicht. [...]
Bei der Red Hat 2019, die Anfang August in Las Vegas über die Bühne ging, sagte Dino Dai Zovi, Head of Security bei Square, dass Sicherheit nicht der Job von Spezialisten sei, sondern alle Mitarbeiter angehe: „Wenn Sie betonen, dass Sicherheit jedermanns Sache ist, bewegen Sie sich in Richtung einer Kultur, in der Risiken geteilt, Zusammenarbeit geschätzt und Boten nicht sofort erschossen werden.“
Einer der ersten und wichtigsten Wege, Sicherheit in die Verantwortung aller zu legen, sei es, Misserfolge als Lernerfahrung und nicht als Schuldzuweisung zu behandeln, so der Security-Experte, der geschätzter Keynote-Speaker auf internationalen Konferenzen ist. Entscheidend sei zudem, Sicherheit in DevOps sowohl auf kultureller als auch auf technischer Ebene zu integrieren – womit das Tor zu DevSecOps geöffnet ist.
Sichere DevOPS
Der Begriff „DevSecOps“ setzt sich aus den Wörtern Development, Security und Operations zusammen. „Was DevOps ist, wissen schon viele – aber bei aller Verkürzung der Entwicklungszyklen und agilen Organisation bleibt oft unklar, wann der Code auf Schwachstellen überprüft werden soll. Eine Unklarheit, die enorme Folgen haben kann – vor allem vor dem Hintergrund der zunehmenden Cyberbedrohungen für Unternehmen“, schreibt Georg Lauer, Senior Principal Business Technology Architect bei CA, in seinem Blog „DevSecOps: Das Was und Warum eines Trends“. „Neu ist jetzt, dass Wissen um Security gleich an die Developer geht und Sicherheit schon im Code verankert wird. Wer heute also das ‚Sec‘ nicht in ‚DevOps‘ einbaut, denkt eindeutig zu kurz.“
DevSecOps sei eigentlich die Idee von DevOps logisch zu Ende gedacht: „DevOps führt Teams zusammen, die vorher getrennt voneinander gearbeitet haben. Entwickler und Operations sind aber nur zwei der Teams in der Unternehmens-IT. Sicherheit und auch Qualitätssicherung getrennt laufen zu lassen, würde das Tempo der Prozesse wieder verringern. Läuft Security jedoch parallel zu den anderen Prozessen, behält das ganze Konstrukt seine Agilität.“
DevSecOps beginnt in den Köpfen
„Der Weg von DevOps zu DevSecOps beginnt nicht bei der Technologie, sondern in den Köpfen der Mitarbeiter und in den Prozessen“, ist Launer überzeugt. So müssen Entwickler etwa den Sicherheitsaspekt ebenso wie funktionale Aspekte ihrer Codes als zentrale Arbeitsaufgabe begreifen. „Das braucht anderes Knowhow bei den Developern und setzt einen Wissensaustausch zwischen Entwicklern und Sicherheitsexperten voraus – in einer Kultur der Offenheit und Transparenz.“ Launers Fazit: „Gelingt dies, profitiert die Sicherheit vom gesammelten Wissen der verschiedenen Experten, da Entwickler schnell und effizient ihr Insiderwissen einbringen können, um die Sicherheit zu verbessern. Jeder ist verantwortlich für Security!“
Und wie kommt man von einem DevOps-Ansatz in die DevSecOps-Welt? Bogdan Botezatu, Computer-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Cyberware sowie Mobile- und Soziale Netzwerk-Malware, hat fünf Tipps zusammengetragen, die dafür sorgen, die Sicherheit in der DevOps-Praxis zu etablieren und damit DevSecOps zu erreichen.
Vorteile der Pipeline von Bereitstellungen nutzen
„Zu den Grundlagen des DevOps-Konzepts zählen die fortlaufende Auslieferung von Verbesserungen und die damit verbundenen Automatisierungs-Tools“, schreibt Bogdan Botezatu. Dieser vernetzte Baukasten von Werkzeugen für Entwicklung, Integration, Test, Bereitstellung und Überwachung von Code über den gesamten Lebenszyklus hinweg bildet das Herzstück eines effizienten und kontinuierlichen Integrations- und Bereitstellungsprozesses. Die Forrester-Analystin Amy DeMartine sagt, dass die IT-Sicherheit eine echte Chance hat, wenn sie die Vorteile genau dieser Pipeline nutzt, um Sicherheitstools so einzusetzen, dass sie die Sicherheitsmetriken permanent verbessern.
Die frühzeitige Integration von Sicherheits- und Qualitätsprüfungen in den Entwicklungsprozess ist eine entscheidende Maßnahme, wenn es um Best Practices für die Anwendungssicherheit geht. „Hier kann das Sicherheitsteam einen großen Nutzen schaffen, indem es hilft zu planen, wo und wie Tests und Security Gates während des Gesamtprozesses eingefügt werden können, ohne das gewünschte hohe Tempo der DevOps-Softwarebereitstellung unnötig auszubremsen“, rät Botezatu, der entscheidend an der Entwicklung des Bitdefender USB Immunizer und Bitdefender Removal Tools mitgearbeitet hat.
Software standardisieren und aktuell halten
„DevOps hat die Abhängigkeit der IT-Hersteller und Entwickler von Softwarekomponenten von Drittanbietern beschleunigt“, schreibt der Sicherheitsexperte. Denn agile Entwicklungsteams suchen immer nach Möglichkeiten, Software noch effizienter zu entwickeln, ohne das Rad neu erfinden zu müssen. Aber damit die Entwicklungsteams wirklich robuste und sichere DevOps-Muster bieten können, muss es auch einen sicheren Weg geben, diese Komponenten von dritter Seite zu integrieren. Eine gute Option hierfür ist, eine standardisierte und validierte Komponentenbibliothek zu pflegen und diese stets zu aktualisieren, sobald neue Versionen verfügbar werden. Die Anzahl der in diesen Bibliotheken vorhandenen Versionen sollte so gering wie möglich gehalten werden.
Werkzeuge und Prozesse standardisieren
Häufig würden die DevOps-Prozesse in verschiedenen Bereichen einer Organisation organisch wie in einem vernachlässigtem Garten wuchern, bringt es Botezatu auf den Punkt. Hier bestehe die Gefahr, dass die Sicherheitsbemühungen zufällig oder punktuell bleiben und nur in unregelmäßigen Abständen weiter verfolgt werden. Jede Abteilung beginnt, die Dinge auf ihre Weise zu handhaben und wählt ihre individuellen Testwerkzeuge und -methoden aus.
Dann passiert, dass die Beteiligten unterschiedliche Sprachen sprechen und die Kommunikation ins Stocken gerät. Es ist zwar durchaus so, dass verschiedene Teams gelegentlich unterschiedliche Toolsets verwenden müssen, da sie mit verschiedenen Cloud-Infrastrukturen, Entwicklungssprachen und Plattformen arbeiten. Doch wann immer möglich, sollten Organisationen an dieser Stelle eine Standardisierung anstreben.
Überwachen mit automatisierten Audit-Protokollen
„Entgegen vieler Befürchtungen von Sicherheits-Spezialisten bedeuten DevOps nicht zwangsläufig, dass damit eine Wild-West-Mentalität Einzug hält“, so Bogdan Botezatu. Es gebe Möglichkeiten, eine Aufgabentrennung („Separation of Duties“) einzuführen und so den Überblick zu behalten, wer was anfasst. Die Beteiligten müssen dafür nur die Möglichkeiten der automatisierten Systeme nutzen, mit deren Hilfe sich die kontinuierliche Delivery Pipeline steuern lässt.
Auch wenn in vielen Fällen die alten Methoden zur Einführung von Sicherheitsfreigaben leider auf der Strecke geblieben sind, darf man einen Vorteil all dieser neueren Tools nicht übersehen: Sie generieren Audit-Trails. Solche Trails können automatisierte Sicherheitswarnungen innerhalb der produktiven Umgebung enthalten. Mit ihnen erkennt man, wenn es zu Einbrüchen und Sicherheitsvorfällen kommt. Außerdem könnten die Teams beispielsweise sensible Systeme für Sicherheitsfreigaben priorisieren. Darüber hinaus wird es dem System überlassen, den Code automatisch auszurollen. Das bedeutet, dass nur die Tools die exakten IT-Ressourcen zuweisen können.
Entwicklern IT-Sicherheit schmackhaft machen
„Security-Spezialisten sollten weniger nach sanften Wegen suchen, Entwicklern mitzuteilen, wie sie sicherer entwickeln sollten, und mehr nach effizienten Wegen, Entwickler bei ihrer komplizierten Arbeit mit hohem Zeitdruck zu unterstützen“, sagt Botezatu.
Für einen Sicherheitsexperten ist es einfach, eine schlechte Sicherheitspraxis zu erkennen. Die Versuchung ist groß, Mankos sofort auf eine Art und Weise zu benennen, die Egos verletzt. Das bringt ein Unternehmen aber nicht weiter. Als Security-Verantwortlicher sollte man sich stattdessen ganz bewusst für den Zuckerbrotansatz entscheiden, bei dem sicherer Code und robustes Design Lob und Anerkennung finden. „Auch hier kann Technologie helfen, indem man sicherstellt, dass die Sicherheits-Tools so abgestimmt sind, dass sie gesicherte Komponenten zur Wiederverwendung bereitstellen und alles a
Be the first to comment