Suchen

Der kollaborative DevSecOps-Ansatz IT-Sicherheit im DevOps-Prozess – eine Annäherung

| Autor / Redakteur: Heidi Bleau* / Julia Schmidt

Damit Produkte schneller, mit weniger Fehlern auf den Markt gebracht werden, müssen beide Welten, Dev und Ops, von Anfang an eng verzahnt werden. Dabei darf aber die IT-Sicherheit nicht auf der Strecke bleiben. Der kollaborativer Ansatz integriert Security als festen Bestandteil im Prozess, dafür bedarf es aber eines Kulturwandels.

Firmen zum Thema

Wenn die Agilität und Reaktionsfähigkeit des DevOps-Konzepts vollständig ausgeschöpft werden soll, muss die IT-Sicherheit in den gesamten Prozess integriert werden.
Wenn die Agilität und Reaktionsfähigkeit des DevOps-Konzepts vollständig ausgeschöpft werden soll, muss die IT-Sicherheit in den gesamten Prozess integriert werden.
(Bild: Pete Linforth / Pixabay )

DevOps setzt sich aus Development (Dev), welcher für die Softwareentwickler steht, und Operations (Ops), stellvertretend für den IT-Betrieb, zusammen. Die Kombination aus beiden Welten soll einen Prozessverbesserungsansatz in den Bereichen Softwareentwicklung und Systemadministration ermöglichen. Um das zu erreichen, müssen Strukturen sowie Verantwortungen angepasst, agile Methoden auf den IT-Bereich übertragen und gemeinsame Tools miteinander verbunden werden. Am Ende soll einerseits eine effizientere und stabilere Zusammenarbeit ermöglicht, andererseits Produkte schneller und mit weniger Fehlern auf den Markt gebracht werden.

Nun stellt sich die Frage, wie die IT-Sicherheit als fester Bestandteil der kompletten Entwicklungs-Pipeline etabliert werden kann, um das Agilitätsdenken nicht zu torpedieren. Das DevOps-Konzept wird als innovierend und das Security & Risk Management als verhindernd wahrgenommen.

Der kollaborative DevSecOps-Ansatz

Es liegt in der DNA von IT-Sicherheitsteams, Schwachstellen innerhalb eines Systems ausfindig zu machen und zu beseitigen. DevOps-Konzepte arbeiten mit komplexen Anwendungen, Umgebungen und Infrastrukturen, die das digitale Risiko erhöhen und zu potenziellen Ausfällen führen können – Produktionsausfälle führen zu Kostenexplosionen, die bis in die Milliarden gehen können. Wenn die Agilität und Reaktionsfähigkeit des DevOps-Konzepts vollständig ausgeschöpft werden soll, muss die IT-Sicherheit in den gesamten Prozess integriert werden. DevOps-Praktiken dürfen demnach nicht als Sonderzonen in Unternehmen, losgelöst vom Security-Management, aufgefasst werden.

Der Schritt hin zu einem kollaborativen DevSecOps-Ansatz wird noch immer vermisst. Es erfordert einen regelrechten Kulturwandel – in allen Teams – um Barrieren und vermeintliche Vorurteile abzubauen. „Die Sicherheit der Anwendungen und der Infrastruktur muss von Anfang an beachtet werden“, sagt Mike Newborn, CISO, Navy Federal Credit Union, RSA, und fügt hinzu: „Der kulturelle Wandel muss die Verantwortung aber vom Sicherheitsteam weg auf die Entwicklungsteams und andere Teile der Organisation verlagern. Als Sicherheitsexperten ist es unsere Aufgabe, die Teile der Organisation mit dem richtigen Wissen und den richtigen Technologien und Prozessen auszustatten, so dass sie das, was sie tun müssen, in der richtigen Geschwindigkeit sowie in abgesteckten Rahmenbedingungen erledigen können.“

Jamie Ringstad, Direktor von Microsoft, ist dagegen der Meinung, dass „der IT-Verantwortliche immer einen Platz am Tisch haben muss, wenn das Wort Sicherheit fällt und wenn es darum geht, das Risiko der digitalen Transformation zu minimieren.“ Geht es nun darum, dass die IT-Sicherheit in die DevOps einzieht oder dass die DevOps in die Sicherheit einziehen? Beide Experten sind sich einig, dass es sich um einen Kulturwandel auf beiden Seiten handelt.

Eine neue Kultur der Zusammenarbeit

Es gibt verschiedene Ansätze, um diesen Kulturwandel zu erreichen. Eine Voraussetzung hierfür muss aber sein, dass sich die Prioritäten einer Risikominimierung mit den Geschäftsprioritäten decken. Sobald diese Angleichung erfolgt ist, kann die Zusammenarbeit in Angriff genommen werden. Dafür muss die IT-Sicherheit frühzeitig in den Entwicklungszyklus eingeführt werden. Aktuell werden Sicherheitserfordernisse in der Regel im Vorfeld zwar identifiziert, aber erst am Ende des Entwicklungszyklus überprüft. Das liegt insbesondere daran, dass Anforderungen oftmals umständlich und für Entwickler nur schwer zu einem früheren Zeitpunkt zu implementieren sind. Viele Sicherheitsprüfungen sind an Konformität gebunden, die oft erst nach einer Veröffentlichung der Software in einer End-to-End-Umgebung getestet werden kann. Diese und weitere Einschränkungen sind der Grund, warum der DevSecOp-Ansatz immer noch mehr Theorie als wirkliche Praxis ist.

Um beide Welten effektiv zusammenzubringen, bedarf es neben gleichen Zielen auch einer Kultur der Zusammenarbeit. Jeder muss genug vom Kontext des anderen verstehen, um die Sicherheit einer Software zu gewährleisten. Gemeinsame Messinstrumente müssen entwickelt werden, die mit den übergeordneten Zielen des Unternehmens übereinstimmen. Eine Kultur der Zusammenarbeit mit der Philosophie von DevOps schafft Vertrauen, wird aber nur erreicht, wenn alle Teams gemeinsam von Tag eins an einem Strang ziehen.

*Über die Autorin:Heidi Bleau ist Consultant bei RSA Fraud & Risk Intelligence.

(ID:46601878)