Der Schulterschluss von Softwareentwicklung und IT-Betrieb gilt im Security-Bereich als schwierig. Man sollte sich ein Beispiel an der Formel 1 nehmen. Dort arbeiten Ingenieure an Sicherheitskonzepten, um dem Fahrer schneller fahren zu lassen. Mit dem richtigen DevOps-Konzept schafft man auch im Unternehmen die richtige Sicherheit die Grundlage für mehr Geschwindigkeit.
Foto: anathomy - shutterstock.com
Unternehmen profitieren von DevOps
Die Nutzung von DevOps im Unternehmen bietet klare Vorteile:
Durch schnellere Reaktionszeiten werden Marktveränderungen oder Kundenanforderungen rascher bewältigt. Organisationen, die eine DevOps-Methodologie eingeführt haben, beschleunigen ihre Markteinführung um 20 Prozent, so das Ergebnis einer IDC-Untersuchung.
Häufige Produktaktualisierungen auf Basis kontinuierlicher Rückmeldungen von Kunden führten zu gesteigerter Kundenzufriedenheit.
Bessere betriebliche Effizienz durch Automatisierung führt dazu, dass über 60 Prozent der Organisationen DevOps-Modelle übernehmen.
Leider übersehen DevOps-Ansätze häufig Sicherheitskonzepte wie starke Verschlüsselung und Authentifizierung. Sie gelten als zu langsam und aufwendig, Zertifikate und Schlüssel werden als Flaschenhälse angesehen. Sicherheitsteams messen SLAs in Wochen, Experten im Bereich DevOps erwarten diese aber binnen Minuten und Sekunden. Daher behelfen sie sich mit Workrarounds, stellen eigensignierte Zertifikate für sich selbst aus oder kopieren Schlüssel mehrfach. DevOps ermöglicht immer schnelle Wege, allerdings ist dies nicht ohne Risiko.
Die mangelnde Transparenz bei den eingebauten Schlüsseln und Zertifikaten ist ein großes Problem, da Sicherheitsbeauftragte nicht wissen, welche Software vertrauenswürdig ist. 80 Prozent aller CIOs geben in einer Venafi-Studie an, dass DevOps die Unterscheidung zwischen "gut" und "bösartig" schwieriger macht. Dabei ist die fehlende Sichtbarkeit oder Kontrolle von Schlüsseln und Zertifikaten ein Problem, dass mit der richtigen DevOps-Strategie durchaus gelöst werden kann. Hier sind drei Punkte zu beachten:
Automatisierung von Sicherheit beim Umgang mit Fast-IT: Schnellere Reaktionszeiten bei Marktveränderungen können zwar zu einer Steigerung des Reingewinns beitragen, aber 25 Prozent der App-Kosten versickern für die manuelle Beschaffung von Schlüsseln und Zertifikaten. Dadurch wird auch wertvolle Zeit vergeudet, was sich direkt auf die Projektabwicklungspläne auswirkt. Automatisierungsverfahren zur Erstellung und Verteilung von Keys und Zertifikaten über den Build-Prozess optimieren die Arbeit von DevOps-Teams. Dadurch kann die IT-Sicherheit an die Fast-IT-Praktiken angepasst und die Anzahl der durch manuelle Verfahren potentiell eingeschleusten Schwachstellen gleichzeitig verringert werden.
Schlüssel und Zertifikate monitoren und managen: Kundenzufriedenheit ist ein kontinuierliches Bestreben; der Ausfall eines Dienstes kann die Bewertung von Kundenzufriedenheit abstürzen lassen. Werden die Ablaufdaten der Zertifikate, die für HTTPS-Dienste genutzt werden, nicht verfolgt, kann das zu durchschnittlichen Ausfallkosten von bis zu einer Million Dollar pro Stunde führen. DevOps-Teams sind in der Regel keine PKI-Experten. In den meisten Fällen beschaffen und installieren jedoch DevOps-Teams Zertifikate selbst, und IT-Sicherheitsteams können sie nicht verfolgen, weil sie nichts über sie wissen. Organisationen sollten feststellen können, wo alle Anwendungszertifikate eingesetzt werden. Diese müssen dann von IT-Sicherheitsverantwortlichen verwaltet werden. Dann können sie auf die Zertifikate Richtlinien anwenden und Ablaufdaten nachverfolgen, um Dienstausfälle zu vermeiden und das Kundenvertrauen zu erhalten.
Integration von Schlüsseln und Zertifikaten in DevOps-Builds: Die Verbesserung der betrieblichen Effizienz ist ein Hauptmotiv für DevOps. Bei alten IT-Modellen kann man akzeptieren, vier bis fünf Stunden in die manuelle Bereitstellung der einzelnen Zertifikate investieren zu müssen. Für New-IT- und DevOps-Teams dauert es jedoch einfach zu lange, ein User Interface zur Beschaffung und Installation von Schlüsseln und Zertifikaten zu nutzen. Sie müssen in der Lage sein, die Bereitstellung von Schlüsseln und Zertifikaten als Teil des automatisierten Build-Prozesses zu integrieren, um innerhalb von Sekunden Tausende von Zertifikaten zu liefern - weniger ist nicht genug.
DevOps-Teams nutzen in der Regel Programmierschnittstellen (APIs). Dies sollte bei der Bereitstellung von Schlüsseln und Zertifikaten bedacht werden, damit dieser Prozess vollständig automatisiert werden kann. APIs sind wichtige Elemente in der Sicherheitsarchitektur. Sicherheitsexperten müssen in der Lage sein, Schlüssel und Zertifikate automatisch durch APIs bereitzustellen.
Fazit
DevOps ist ein wichtiges Thema, um den Vorteil schnellerer Projektabschlusszeiten ohne Beeinträchtigung der Sicherheit zu nutzen. Mit der Einführung von Kontrollen und Automatisierung für Schlüssel und Zertifikate können Unternehmen sicher bleiben und ihre DevOps gleichzeitig auf Geschäftsgeschwindigkeit halten.
Das Thema darf gerade in der IT-Sicherheit nicht ausgenommen werden. Im Gegenteil: Durch die veränderte Gefahrenlandschaft wird Entwicklung und Effizienz von Sicherheitslösungen immer wichtiger. Daher sollten genau hier Prozesse optimiert werden. Durch entsprechende Lösungen können Unternehmen Sicherheit und Entwicklungsgeschwindigkeit gewährleisten.
- Das fertige Puzzle
So sieht das fertige Puzzle aus: neun Teile, die sich in drei inhaltlich definierte Reihen fügen. - Die obere Reihe
Bei Strategien und Zielen sind die Anwender signifikant weiter als anderswo. Anders gesagt: Die linke obere Ecke des Puzzles haben die meisten bereits richtig platziert. - Die mittlere Reihe
Tückisches Teil: Am schwersten fällt es den Unternehmen, für kulturelle Harmonie in der IT zu sorgen. - Die untere Reihe
DevOps benötigt die richtigen Tools sowie Sicherheits- und Compliance-Instrumente. Die Analysten nennen als ein Beispiel Lösungen für Release Automation. - Performance im Markt
Anwender, die einen großen Teil des Puzzles zusammengesetzt haben, erweisen sich auf dem Markt als leistungsstärker. Das zeigt diese Grafik. - Effekt in der Scorecard
Ganzheitliche DevOps-Anwender profitieren auch bei den KPIs der Business Scorecard. Das zeigt sich in dieser Grafik. Überraschend ist allerdings der geringe Abstand zwischen DevOps-Abstinenzlern und Anwendern mit limitiertem Einsatz.