Kommentar zu DevSecOps Sicherheit mit Agilität kombinieren

Bei der zunehmenden Beschleunigung von Entwicklungsprozessen darf die Sicherheit nicht zu kurz kommen.

02.05.2019

Entwicklung und IT-Betrieb optimal aufeinander abzustimmen, ist hilfreich – in diesem Punkt sind sich Unternehmen weitgehend einig. Dennoch ist laut einer Studie von Sonatype die Anzahl der Sicherheitslücken in den vergangenen Jahren um fast 50 Prozent gestiegen. 47 Prozent der Befragten sagen gleichzeitig, dass Security-Teams oder -Richtlinien einen Hemmschuh für ihre Prozesse darstellen. Wie lässt sich Schnelligkeit in den Betrieb bringen, ohne der Sicherheit zur Last zu fallen?

Bei Software-Entwicklern dreht sich alles um Geschwindigkeit. DevOps verspricht in diesem Kontext eine schnelle, agile Entwicklung, die sich noch dazu ideal an Geschäftsprozessen orientiert. Auch die Bedürfnisse des IT-Betriebs und der Anwender lassen sich bei diesem Ansatz deutlich besser vereinen. Zusätzliche Optimierungen entstehen durch Automatisierungstools, die auf dynamischen Infrastrukturen basieren.

Dieser ausgeprägte Fokus auf Schnelligkeit und Flexibilität hat jedoch auch Nachteile. Applikationen, die „mit der heißen Nadel gestrickt“ wurden, können schnell Sicherheitslücken aufweisen. Wer heute das „Sec“ nicht in DevOps integriert, geht also Risiken ein.

Herausforderungen bei der Implementierung

Es gibt keinen festen Fahrplan für kombinierte Sicherheit und Agilität in Unternehmen. Dennoch existieren einige grundlegende Maßnahmen, die zur Einführung von DevSecOps beitragen.

Zunächst gilt es, das Security-Testing nicht auf ausgereifte Applikationen zu beschränken, sondern im gesamten Entwicklungsprozess zu verankern. Entwickler müssen möglichst sofort ein Feedback zu erstelltem Code erhalten. Das übergeordnete Ziel ist es, Entwickler für Security-Themen zu sensibilisieren.

Neben der menschlichen Komponente spielen technologische Fragestellungen eine wichtige Rolle. Im Vordergrund steht hier die Automatisierung von Security-Tests. Dies lässt sich durch verschiedene Ansätze wie dynamische und statische Analysen, Scripting und die Integration von Tests in bestehende Prozesse realisieren. Dieses Vorgehen, welches auch als Continuous Testing bezeichnet werden kann, ermöglicht es, Fehler früh zu identifizieren.

Zu DevSecOps gehört aber auch die Absicherung des Produktivbetriebs. Hier greifen beispielsweise SIEM-Technologien zur 24/7-Überwachung von Infrastrukturen.

Container und Microservices: Fluch oder Segen?

Um Continuous Integration und Continuous Delivery umzusetzen, bedienen sich DevOps mehrerer Technologien. Hierzu zählen insbesondere Container und Microservices.

Was die Cybersecurity betrifft, so sind hier spezielle Aspekte zu beachten. Container ermöglichen zwar eine schnelle Entwicklung und Implementierung, bieten jedoch auch weniger Schutz und Isolation. Nicht selten beinhalten Container-Images Sicherheitslücken, weshalb sie stets überwacht werden sollten.

Auch die Vergabe von Root-Berechtigungen in Containern stellt ein Risiko dar und sollte daher nur sehr eingeschränkt erfolgen. Empfehlenswert ist der Einsatz von Sicherheitsscannern, die speziell für Container entwickelt wurden. Axians bietet an dieser Stelle eine Lösung, welche Sicherheitslücken von Containern im gesamten Build-Prozess transparent macht.

Enthalten Container Microservices, so stellt dies ein weiteres beliebtes Angriffsziel für Kriminelle dar. Die Isolation voneinander und vom Netzwerk ist daher besonders bedeutsam. Nicht zuletzt sollte die Kommunikation zwischen Servern und Apps stets verschlüsselt erfolgen. Die Microservices selbst sollten durch Zugangskontrollen und Authentifizierungsmechanismen geschützt werden.

Außerdem sei die API-Sicherheit erwähnt. Hier hat die Integration sicherer API-Gateways eine hohe Priorität. Sie verhindern, dass Clients über öffentliche Endpoints Anfragen an einzelne Microservices stellen können.

Individuelle Strategie erforderlich

Ein pauschal empfehlenswertes DevSecOps-Modell existiert nicht. Vielmehr müssen Prozesse und Technologien identifiziert werden, die die individuellen Anforderungen eines Unternehmens abdecken.

Zudem kommt der Sensibilisierung sämtlicher Prozessbeteiligter im Hinblick auf die Cybersecurity besondere Bedeutung zu. Gelingt es, diese Anforderungen zu erfüllen, so ist DevSecOps ein probater Ansatz zur Kombination von Entwicklung, Betrieb und Anwendungssicherheit.

Sie möchten sich im Detail über die Herausforderungen und Erfolgsfaktoren von DevSecOps informieren? Axians hat ein ausführliches Whitepaper zu diesem Thema erstellt. Über den nachfolgenden Link gelangen Sie zum Download.

Zum Whitepaper

Bildergalerie

  • Die wichtigsten DevSecOps-Bestandteile, auch DevSecOps 8 genannt.

    Die wichtigsten DevSecOps-Bestandteile, auch DevSecOps 8 genannt.

    Bild: Axians

Firmen zu diesem Artikel
Verwandte Artikel