DevSecOps

5 Tipps für sichere DevOps

30.08.2020

Von

Bogdan Botezatu ist Computer-Sicherheitsexperte und hat langjährige Erfahrung in den Bereichen Cyberware sowie Mobile- und Soziale Netzwerk-Malware. Als Senior e-Threat-Analyst hat er entscheidend an der Entwicklung des Bitdefender USB Immunizer und Bitdefender Removal Tools mitgearbeitet.

Alle Posts des Autors Email: Connect:

4. Überwachen mit automatisierten Audit-Protokollen

Entgegen vieler Befürchtungen von Sicherheitsspezialisten bedeuten DevOps nicht zwangsläufig, dass damit eine Wild-West-Mentalität Einzug hält. Es gibt Möglichkeiten, eine Aufgabentrennung (Separation of Duties) einzuführen und so den Überblick zu behalten, wer was anfasst. Die Beteiligten müssen dafür nur die Möglichkeiten der automatisierten Systeme nutzen, mit deren Hilfe sich die kontinuierliche Delivery Pipeline steuern lässt.

Auch wenn in vielen Fällen die alten Methoden zur Einführung von Sicherheitsfreigaben leider auf der Strecke geblieben sind, darf man einen Vorteil all dieser neueren Tools nicht übersehen: Sie generieren Audit-Trails. Solche Trails können automatisierte Sicherheitswarnungen innerhalb der produktiven Umgebung enthalten. Mit ihnen erkennt man, wenn es zu Einbrüchen und Sicherheitsvorfällen kommt. Außerdem könnten die Teams beispielsweise sensible Systeme für Sicherheitsfreigaben priorisieren. Darüber hinaus wird es dem System überlassen, den Code automatisch auszurollen. Das bedeutet, dass nur die Tools die exakten IT-Ressourcen zuweisen können.

Diese Trails können vom IT-Sicherheitsteam genutzt werden, um Anomalien zu erkennen oder um zu verstehen, wo möglicherweise etwas schief läuft. Die Anomalie-Erkennung kann aussagekräftige Informationen darüber liefern, ob Außenstehende oder Mitarbeiter an Systeme Hand anlegen, die sie besser unberührt lassen sollten.

5. Den Entwicklern die IT-Sicherheit schmackhaft machen

Security-Spezialisten sollten weniger nach sanften Wegen suchen, Entwicklern mitzuteilen, wie sie sicherer entwickeln sollten, und mehr nach effizienten Wegen, Entwickler bei ihrer komplizierten Arbeit mit hohem Zeitdruck zu unterstützen.

Für einen Sicherheitsexperten ist es einfach, eine schlechte Sicherheitspraxis zu erkennen. Die Versuchung ist groß, Mankos sofort auf eine Art und Weise zu benennen, die Egos verletzt. Das bringt ein Unternehmen aber nicht weiter. Als Security-Verantwortlicher sollte man sich stattdessen ganz bewusst für den Zuckerbrotansatz entscheiden, bei dem sicherer Code und robustes Design Lob und Anerkennung finden. Auch hier kann Technologie helfen, indem man sicherstellt, dass die Sicherheits-Tools so abgestimmt sind, dass sie gesicherte Komponenten zur Wiederverwendung bereitstellen und alles automatisieren, was für sie automatisiert werden kann.

Fazit: DevOpsSec sind erreichbar

Das DevOps-Konzept für eine schlagkräftige und leistungsfähige Unternehmens-IT verdient volle Unterstützung von Seiten der IT-Sicherheit. Sie wird diese jedoch kaum von heute auf morgen erhalten. Es hilft, sich den Ansatz, dass die verschiedenen IT-Organisationen produktiv zusammenarbeiten, als eine Art Migrationsprojekt vorzustellen: Von DevOps zu DevOpsSec - eine organisatorische Weiterentwicklung für eine sichere und agile IT.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren