IT-Sicherheit und DevOps

Drei Schritte, wie man DevOps sicher und schnell umsetzt

09.08.2016
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich.
Bereits 60 Prozent aller Organisationen arbeiten mit DevOps-Konzepten - vergessen zugunsten der Umsetzungsgeschwindigkeit aber gerne die Security-Fragen.

Der Schulterschluss von Softwareentwicklung und IT-Betrieb gilt im Security-Bereich als schwierig. Man sollte sich ein Beispiel an der Formel 1 nehmen. Dort arbeiten Ingenieure an Sicherheitskonzepten, um dem Fahrer schneller fahren zu lassen. Mit dem richtigen DevOps-Konzept schafft man auch im Unternehmen die richtige Sicherheit die Grundlage für mehr Geschwindigkeit.

DevOps können Unternehmen sicherer machen - wenn sie richtig eingesetzt werden.
DevOps können Unternehmen sicherer machen - wenn sie richtig eingesetzt werden.
Foto: anathomy - shutterstock.com

Unternehmen profitieren von DevOps

Die Nutzung von DevOps im Unternehmen bietet klare Vorteile:

Leider übersehen DevOps-Ansätze häufig Sicherheitskonzepte wie starke Verschlüsselung und Authentifizierung. Sie gelten als zu langsam und aufwendig, Zertifikate und Schlüssel werden als Flaschenhälse angesehen. Sicherheitsteams messen SLAs in Wochen, Experten im Bereich DevOps erwarten diese aber binnen Minuten und Sekunden. Daher behelfen sie sich mit Workrarounds, stellen eigensignierte Zertifikate für sich selbst aus oder kopieren Schlüssel mehrfach. DevOps ermöglicht immer schnelle Wege, allerdings ist dies nicht ohne Risiko.

Die mangelnde Transparenz bei den eingebauten Schlüsseln und Zertifikaten ist ein großes Problem, da Sicherheitsbeauftragte nicht wissen, welche Software vertrauenswürdig ist. 80 Prozent aller CIOs geben in einer Venafi-Studie an, dass DevOps die Unterscheidung zwischen "gut" und "bösartig" schwieriger macht. Dabei ist die fehlende Sichtbarkeit oder Kontrolle von Schlüsseln und Zertifikaten ein Problem, dass mit der richtigen DevOps-Strategie durchaus gelöst werden kann. Hier sind drei Punkte zu beachten:

  • Automatisierung von Sicherheit beim Umgang mit Fast-IT: Schnellere Reaktionszeiten bei Marktveränderungen können zwar zu einer Steigerung des Reingewinns beitragen, aber 25 Prozent der App-Kosten versickern für die manuelle Beschaffung von Schlüsseln und Zertifikaten. Dadurch wird auch wertvolle Zeit vergeudet, was sich direkt auf die Projektabwicklungspläne auswirkt. Automatisierungsverfahren zur Erstellung und Verteilung von Keys und Zertifikaten über den Build-Prozess optimieren die Arbeit von DevOps-Teams. Dadurch kann die IT-Sicherheit an die Fast-IT-Praktiken angepasst und die Anzahl der durch manuelle Verfahren potentiell eingeschleusten Schwachstellen gleichzeitig verringert werden.

  • Schlüssel und Zertifikate monitoren und managen: Kundenzufriedenheit ist ein kontinuierliches Bestreben; der Ausfall eines Dienstes kann die Bewertung von Kundenzufriedenheit abstürzen lassen. Werden die Ablaufdaten der Zertifikate, die für HTTPS-Dienste genutzt werden, nicht verfolgt, kann das zu durchschnittlichen Ausfallkosten von bis zu einer Million Dollar pro Stunde führen. DevOps-Teams sind in der Regel keine PKI-Experten. In den meisten Fällen beschaffen und installieren jedoch DevOps-Teams Zertifikate selbst, und IT-Sicherheitsteams können sie nicht verfolgen, weil sie nichts über sie wissen. Organisationen sollten feststellen können, wo alle Anwendungszertifikate eingesetzt werden. Diese müssen dann von IT-Sicherheitsverantwortlichen verwaltet werden. Dann können sie auf die Zertifikate Richtlinien anwenden und Ablaufdaten nachverfolgen, um Dienstausfälle zu vermeiden und das Kundenvertrauen zu erhalten.

  • Integration von Schlüsseln und Zertifikaten in DevOps-Builds: Die Verbesserung der betrieblichen Effizienz ist ein Hauptmotiv für DevOps. Bei alten IT-Modellen kann man akzeptieren, vier bis fünf Stunden in die manuelle Bereitstellung der einzelnen Zertifikate investieren zu müssen. Für New-IT- und DevOps-Teams dauert es jedoch einfach zu lange, ein User Interface zur Beschaffung und Installation von Schlüsseln und Zertifikaten zu nutzen. Sie müssen in der Lage sein, die Bereitstellung von Schlüsseln und Zertifikaten als Teil des automatisierten Build-Prozesses zu integrieren, um innerhalb von Sekunden Tausende von Zertifikaten zu liefern - weniger ist nicht genug.

DevOps-Teams nutzen in der Regel Programmierschnittstellen (APIs). Dies sollte bei der Bereitstellung von Schlüsseln und Zertifikaten bedacht werden, damit dieser Prozess vollständig automatisiert werden kann. APIs sind wichtige Elemente in der Sicherheitsarchitektur. Sicherheitsexperten müssen in der Lage sein, Schlüssel und Zertifikate automatisch durch APIs bereitzustellen.

Fazit

DevOps ist ein wichtiges Thema, um den Vorteil schnellerer Projektabschlusszeiten ohne Beeinträchtigung der Sicherheit zu nutzen. Mit der Einführung von Kontrollen und Automatisierung für Schlüssel und Zertifikate können Unternehmen sicher bleiben und ihre DevOps gleichzeitig auf Geschäftsgeschwindigkeit halten.

Das Thema darf gerade in der IT-Sicherheit nicht ausgenommen werden. Im Gegenteil: Durch die veränderte Gefahrenlandschaft wird Entwicklung und Effizienz von Sicherheitslösungen immer wichtiger. Daher sollten genau hier Prozesse optimiert werden. Durch entsprechende Lösungen können Unternehmen Sicherheit und Entwicklungsgeschwindigkeit gewährleisten.