SecDevOps

Wie Security-Teams von DevOps profitieren

Ryan Francis arbeitet als leitender Redakteur für die CW-Schwesterpublikationen Network World und CSO.
Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
IT-Sicherheitsteams müssen ihre Arbeitsmethoden überdenken - mit DevOps werden die neuen Wege möglich.

Unternehmenskultur, Arbeitsabläufe und technische Werkzeuge entwickeln sich mit einer solch enormen Geschwindigkeit, wie wir sie nie zuvor erlebt haben. Das führt dazu, dass wir uns nicht einfach nur zurücklehnen und darauf warten können, dass der DevOps-Trend vorüberzieht - denn das wird er nicht. DevOps sind keine Modeerscheinung, sondern ein ausgeklügelter neuer Weg der Softwareentwicklung. Damit geht es ihnen genauso wie der IT-Sicherheit an sich - auch um sie kommt niemand herum, und sei sie noch so kompliziert. Kurzum: Security muss sich fließend in SecDevOps verwandeln.

Viele Unternehmen mit aktiven R&D-Departments bringen jeden Tag Dutzende oder sogar Hunderte neuer Releases und Updates heraus - sei es für die internen Abteilungen, für Partner oder Kunden. Mit der Hilfe und Beratung der Security-Teams können Unternehmen sichere Release gleich im ersten Versuch gewährleisten, zudem viel Geld und Zeit sparen.

Der Security-Software-Testing-Anbieter Checkmarx erklärt in seinem Unternehmensblog, warum DevOps die Security-Teams und die allgemeine IT-Sicherheit im Unternehmen weiterbringen. Wir fassen die wichtigsten Punkte für Sie zusammen.

Ziemlich sicher ist: Der DevOps-Trend wird noch etwas bleiben...
Ziemlich sicher ist: Der DevOps-Trend wird noch etwas bleiben...
Foto: Yabresse - www.shutterstock.com

DevOps durchbrechen Silos

Eines der wichtigsten Ziele von DevOps ist, eine Kultur zu schaffen, die Teamarbeit wertschätzt und Wege findet, die die Arbeit für alle beteiligten Teams verbessert. Entwickler kämpfen damit, sicheren Programmcode zu schreiben - viele Million Codezeilen wurden schon verworfen, weil das Entwicklerteam nicht mit seinen Werkzeugen umzugehen wusste oder die Tools sich nicht an den ständig veränderten Software Development Life Cycleanpassen ließen. DevOps reißen die Silos ein und machen Security zu einem besser integrierten, weit besser automatisierten und damit auch einfach zu realisierendem Thema, das das gesamte Entwicklerteam verstehen und gemeinsam optimieren kann.

Es gibt Licht am Ende des "Silo-Tunnels" - dank DevOps.
Es gibt Licht am Ende des "Silo-Tunnels" - dank DevOps.
Foto: Bukhanovskyy - www,shutterstock.com

DevOps bringen Security und Business zuammen

Neben der verbesserten Zusammenarbeit mit Entwicklern und anderen Teammitgliedern helfen DevOps auch dabei, die Sicherheitsverantwortlichen näher an das restliche Geschäft heran zu führen. Den Ergebnissen einer aktuellen Umfrage von Puppet Labs zufolge verbringen Unternehmen, die DevOps einsetzen im Vergleich zu denen, die es nicht tun, mehr als ein Fünftel weniger Zeit mit Nacharbeiten von bereits abgeschlossenen Projektteilen und anderen eigentlich überflüssigen Arbeiten, die es nicht bräuchte, wenn die Jobs gleich beim ersten Durchlauf ordentlich erledigt worden wären. Integriertes Security-Testing macht es möglich, potenzielle Schwachstellen schon sehr viel früher - während des "System Development Life Cycle" (SDLC) - zu erkennen. Dadurch können auch die Security-Budgets leicht heruntergefahren werden, weil sich Investitionen in das frühe Projektstadium verlagern, wo sie noch weitaus niedriger sind.

Das Wichtigste aber ist, dass das Risiko eines Datenabflusses und die Zeit, bis ein solcher erkannt wird, deutlich abnehmen. Wer früh beginnt, kann viel einfacher Policies und Abläufe festlegen, wie im Fall der Fälle zu reagieren ist und so leichter risikobasierte Entscheidungsbäume definieren. Die potenzielle Geschäftsunterbrechung bleibt so minimal.

DevOps treiben sichere Innovation und agile Entwicklung

Immer mehr Unternehmen setzen auf agile Softwareentwicklung (ASD) - es ist bereits zum De-Facto-Standard in weiten Teilen der Geschäftswelt geworden. Was häufig aber noch fehlt, ist der Security-Aspekt - Schnelligkeit und Integrität sind ohne Sicherheit kaum etwas wert. Für agile Entwicklung braucht es eine saubere Sicherheits-Integration, um optimale Ergebnisse zu erzielen. Je näher die Security-Teams an den Entwicklern dran sind, desto einfacher wird logischerweise auch die sichere Entwicklung. Mit DevOps-Methoden lassen sich Security-Tests nahtlos in die Entwicklungs-Sprints einbauen und neue Features direkt absichern. Innovation immer auch unter Security-Gesichtspunkten zu betrachten, hilft dem Business enorm und stellt das Sicherheitsteam als unabdingbaren Partner im Software-Entwicklungsprozess auf.

Dank DevOps genießt Automatisierung höchste Priorität

DevOps werden durch den Wunsch angetrieben, überall dort einen stromlinienförmigen Ansatz in die Software-Entwicklung zu bringen, wo sich Prozesse automatisieren lassen. Durch die Arbeit mit Manager-Kollegen und Chefentwicklern können Security-Teams automatisierte Prozesse entwickeln, die die Überprüfung von Sicherheitsfunktionen und -policies mit einschließen, unsichere Komponenten und regulatorische Schwachstellen aufspüren und sichere virtuelle Maschinen ans Laufen bringen.

Das führt zu einem völlig neuen Level der Zusammenarbeit, den die Security-Verantwortlichen vorher nicht kannten. Eine statische Code-Analyse-Lösung beispielsweise in einen automatisierten Entwicklungsprozesss zu überführen hilft enorm dabei, dass nur solcher Programmcode genutzt werden kann, der ein bestimmtes Niveau an Sicherheit, regulatorischen und Compliance-Standards erreicht hat.

Automatisierung kommt dank DevOps schneller in den Security-Prozessen an.
Automatisierung kommt dank DevOps schneller in den Security-Prozessen an.
Foto: Alexander Supertramp - www.shutterstock.com

DevOps machen Security zur Jedermann-Aufgabe

Besonders herausfordernd an DevOps ist, dass sich nun jeder innerhalb des SDLC mit Security beschäftigt. Eingespielten Security-Teams mag es zunächst Angst machen, dass sie Teile ihrer Aufgaben an andere Kollegen abgeben - es kann aber helfen, den Security-Verantwortlichen einige Lasten abzunehmen und ihnen Kopf und Hände für andere pressierende Aufgaben freizumachen. Zum Beispiel vermeidet derjenige, der das Security-Testing in einem sehr frühen Stadium der Entwicklung einbaut, den häufig auftretenden Fall, dass zum Zeitpunkt des Releases noch immer keine Prüfung stattgefunden hat.

DevOps verbessern Monitoring und Messgrößen

Kurze Entwicklungs-Sprints machen kontinuierliche Verbesserungen auch hinsichtlich der Security möglich. Im Vor-DevOps-Zeitalter waren Monitoring und IT-Sicherheit zwei völlig unterschiedliche Themen. Sobald Security in den Entwicklungsprozess integriert ist, lässt es sich nun ebenfalls in bestehendes Software-Monitoring und -Messgrößen einbauen. Im Ergebnis werden sich neue Security-Metriken besser mit Dev(elopment), Ops(Operations) und Management verbinden.

Beispielsweise lassen sich mit SecDevOps drei Viertel aller Bugs schon früh im Entwicklungsprozess aufspüren - dadurch ist sichergestellt, dass Bugs, die eine verzögerte Auslieferung verhindern, nicht nur gefunden, sondern auch quantifiziert werden.

DevOps eliminieren Flaschenhälse

Ohne DevOps müssen Nutzer bildlich gesprochen einem Pfad von Informationen folgen und durch brennende Reifen springen, um die richtigen Kontakte für Hilfestellungen bei bestimmten Problemen zu finden. Weil DevOps die Kommunikationskanäle zwischen Gruppen öffnen, machen sie auch automatisch den Weg frei zu diesen Kontaktpunkten und helfen bei der sofortigen Problemlösung. Neben dem Kommunikationsaspekt stellt die Weiterbildung eine Kernkomponente von DevOps-Programmen dar. Die bereits erwähnte Puppet Labs-Studie brachte auch hervor, dass erfolgreiche Unternehmen dank DevOps 50 Prozent weniger Zeit mit Security-Themen verbringen als "Low-Performer". Zudem schaffen sie es, dass die IT-Sicherheit im Voraus genehmigte, einfach konsumierbare Bibliotheken, Pakete, Werkzeuge und Prozesse für Entwickler und IT-Mitarbeiter bereitstellt, die sich einfach benutzen lassen.

Wenn Development und Operations eine größere Verantwortung für den sicheren Quellcode übernehmen, haben die Entwickler mit Interesse an Security zu guter Letzt die Möglichkeit, ihre Expertise in diesem Bereich auszubauen - über interne Trainingsprogramme beispielsweise, die durchaus auch spielerisch sein können, lässt sich das IT-Sicherheits-Wissen des Entwicklerteams verbessern.

Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation CSOonline.