Fallstudie der Helvetia-Versicherungen Cloud- und DevSecOps-Umsetzung in der Praxis

Autor / Redakteur: Mathias Conradt * / Stephan Augsten

Wie entwickelt man mit dem DevSecOps-Ansatz schnell und sicher Anwendungen für die Kunden? In dieser Fallstudie begleiten die das Versicherungsunternehmen Helvetia auf der Reise Richtung Cloud.

Firma zum Thema

Wie bei jedem Transformationsprozess braucht die Einführung eines DevSecOps-Ansatzes Zeit und bringt Herausforderungen mit sich.
Wie bei jedem Transformationsprozess braucht die Einführung eines DevSecOps-Ansatzes Zeit und bringt Herausforderungen mit sich.
(© ipopba - stock.adobe.com)

Unternehmen migrieren angesichts mehr Heimarbeit immer mehr Geschäftsanwendungen in die Cloud. Laut einer Umfrage von Google von 2020 sind Multi-Cloud-Lösungen ein wichtiger IT-Trend in diesem Jahr, weil Unternehmen so Anwendungen je nach Bedarf betreiben und skalieren können.

Kundenseitig haben die Anwender ebenfalls höhere Erwartungen, wenn sie online mit Unternehmen in Kontakt treten: Sie wollen schnelle und kompetente Antworten, eine möglichst gute Nutzererfahrung und schnelle Reaktionszeiten der Anwendung. Als internationales Versicherungsunternehmen musste sich auch die Helvetia Gruppe diesen Herausforderungen stellen.

Neben dem Nutzererlebnis wollte Helvetia die Effizienz und Sicherheit der Software-Entwicklung verbessern und Anwendungen schneller auf den Markt bringen. Deshalb entschied sich das Unternehmen für eine tiefgreifende Transformation: Helvetia ließ den traditionellen Softwareentwicklungsprozess zu Gunsten des neuen DevSecOps-Ansatzes hinter sich.

Bei diesem Ansatz wird das Thema Sicherheit von Anfang an in die Anwendungsentwicklung integriert; Entwickler-, Sicherheits- und Betriebsteams sind dafür gemeinsam verantwortlich. Darüber hinaus hatte Helvetia in den letzten Jahren einige andere Unternehmen übernommen – dies hat die Komplexität der IT-Umgebung ebenfalls erhöht.

Aufgrund dieser Übernahmen kommen auch zahlreiche neue Unternehmensanwendungen zum Einsatz. Auch deshalb entschied sich Helvetia für eine Migration in die Cloud und damit für ein neues Sicherheitsmanagement: Helvetia wollte das Thema Sicherheit von Anfang mitdenken und die konkrete Umsetzung möglichst automatisiert gestalten. Für die Umsetzung dieses Projekts entschied sich Helvetia zur Zusammenarbeit mit Snyk, einem Spezialisten für Cloud-native Anwendungssicherheit.

Die konkreten Schritte auf dem Weg in die Cloud

Ulrich Winterer, Information Security Officer bei der Helvetia Gruppe, erklärt, was ihm beim Thema Sicherheit wichtig ist: „Um einen hohen Automatisierungsgrad zu erreichen, war es für uns besonders wichtig, dieses Vorhaben toolbasiert anzugehen. Für mich sind im Bereich Sicherheit nach dem DevSecOps-Ansatz fünf Hauptbereiche relevant, die man adressieren sollte und die durch verschiedene Tools abgedeckt werden können.“

Winterer unterschied dabei zwischen Bedrohungsmodellierung (Threat Modelling, TM), statischer Analyse (SAST), Software Composition Analysis (SCA), dynamischer Analyse (DAST) und Penetrationstests. „Beim Aufbau unserer Container-Plattform war deshalb eine entscheidende Frage, mit welchen Tools wir unsere Ziele und unseren Ansatz am besten umsetzen können."

Als das Helvetia-Team die Reise in die Cloud begann, ließ es auch die eigene umfassende Full-Stack-Entwicklung hinter sich. Selbstentwickelte Software in einer Cloud-Infrastruktur zu hosten, birgt jedoch durchaus gewisse Risiken. Deshalb braucht es einen neuen Sicherheitsansatz. Zuvor verwaltete das Helvetia-Team ihre Anwendungssicherheit manuell und bezog OWASP-Abhängigkeitstests und externe Sicherheitsüberprüfungen mit ein.

Da das Team jedoch viele neue Anwendungen in ihrer Umgebung verwalten musste, erwies sich dieser Prozess als zu langsam. Für die Softwareentwicklung nutzen die Helvetia-Experten Middleware und benötigten deshalb ein Tool, das alle Abhängigkeiten abdeckt. Dabei war es dem Team wichtig, Risiken möglichst früh und automatisiert in der Softwareentwicklung zu erkennen, statt sich auf einen Schutz durch späte Sicherheitstests zu verlassen.

Dazu müssen die Teams automatisiert Berichte erstellen können und benötigen ein entsprechendes Tool. Die Rechtsabteilung von Helvetia hatte außerdem die Anforderung, dass die Lizenznutzung in der Software transparent dargestellt wird. Eine Plattform für die Risikoerkennung sollte außerdem ein automatisiertes Reporting zu Schwachstellen in verwendeten Abhängigkeiten, eine Integration in den Entwicklungszyklus und das Scannen von Code-Abhängigkeiten ermöglichen – und auch Informationen zur Beseitigung dieser Schwachstellen bereitstellen.

Um die Laufzeit- und Entwicklungsumgebungen von Helvetia auf eine Cloud-Infrastruktur zu migrieren, benötigte das Team einen umfassenden Überblick und einen Check für alle Anwendungen, die auf dieser Plattform laufen. Deshalb bewertete Helvetia über 20 Anbieter anhand ihrer vorab festgelegten Kriterien.

Dabei kristallisierte sich heraus, dass umfassende Plattformen wie AWS, OpenShift und Snyk für Helvetia am besten geeignet sind, um ihre Container-Plattform aufzubauen und zu entwickeln. Die Plattform von Snyk entsprach den Anforderungen unter anderem beim Lifecycle-Management und der Lizenzverwaltung am besten. Wichtig war dem Helvetia-Team auch die Unterstützung von Java/Maven, Typescript/NPM, Python und .NET.

Ihre Entwickler sollten das Tool außerdem einfach über eine Kommandozeile (CLI) nutzen und es in ihre IDE IntelliJ integrieren können. Wichtig war auch die Bitbucket-Server-Integration, um Repositories direkt aus Bitbucket zu scannen. Letztendlich war die gesamte CI/CD-Integration („kontinuierliche Automatisierung und Überwachung“) entscheidend, um jede Anwendung zu testen und entsprechende Informationen zu erhalten, wenn eine der internen Anforderungen nicht erfüllt war.

Volle Sicherheit durch automatisierte Prozesse

Durch die DevSecOps-Implementierung erkennt das Helvetia-Team nun automatisiert Lifecycle-Probleme in ihrer selbst geschriebenen Software und nutzt das entsprechende Reporting, um gezielt auf bestimmte Abhängigkeiten hin zu prüfen. Außerdem können die Mitarbeiter verwendete Abhängigkeiten auf einer höheren Abstraktionsebene in ihr Lifecycle-Management-Tool, LeanIX, übertragen. Dadurch können sie die Verwendung von Abhängigkeiten besser verfolgen und auftretende Probleme am Ende des Lebenszyklus einfacher identifizieren.

Traditionell werden bei einer Abnahme Security Audits durchgeführt (Penetrationtests). Diese bringen zwar oft viele wertvolle Erkenntnisse, kostet aber auch Zeit und Geld. Dank Automatisierung können nun einige Aufgaben wesentlich schneller erledigt werden und das Team kann sich auf ausgewählte Bereiche für Penetrationstests und die Prüfung der kritischen Anwendungen konzentrieren.

Das Helvetia-Team hat jetzt auch einen umfassenden Überblick über den aktuellen Status seiner Anwendungen, und die Entwicklerteams können besser bewerten, welche Komponenten von Drittanbietern in ihren Anwendungen enthalten sind. Und genau dadurch sind kontinuierliche Qualität und Sicherheit von Anfang an möglich.

Derzeit nutzt Helvetia neben Snyk Open Source auch die Lösung Snyk Container und deren OpenShift-Integration, um laufende Container-Workloads zu scannen. Da das Helvetia-Team keine Erfahrung mit AWS oder Azure hatte, benötigten sie eine Plattform, die sie über die Aktionen und die Performance ihres Cloud-Anbieters konkret auf dem Laufenden hält.

Wichtig war außerdem, einen Vendor-Lock-in mit einem Cloud-Provider zu vermeiden. Björn Fischer, DevSecOps Engineer bei Helvetia erklärt: „OpenShift bietet uns genau das. Mit OpenShift können wir Container verwalten und Sicherheitsaspekte integrieren, was unserem Unternehmen sehr wichtig ist.“

Die OpenShift-Container-Plattform basiert auf der Kubernetes-Container-Technologie und bietet eine modulare, flexible Infrastruktur für die aktuellen Anwendungen des Versicherungsunternehmens, die von der alten Hardware-Umgebung migriert wurden, sowie für neue, Cloud-native Anwendungen.

Es gibt bereits ein konkretes Beispiel für eine erfolgreiche neue Anwendung: Einen Chatbot, der Versicherungskunden z.B. bei Fahrraddiebstählen hilft, konnte Helvetia deutlich schneller bereitstellen. Von der Entwicklung bis zur Veröffentlichung der App dauerte es nur wenige Monate.

Die Herausforderungen der DevSecOps-Implementierung

Helvetia hat schon viele entscheidende Schritte getan, aber die Reise in die Cloud und der Wandel zu einem DevSecOps-Ansatz ist noch nicht abgeschlossen. Aktuell ist das Helvetia-Team noch dabei, ihre Tools in den neuen DevSecOps-Ansatz zu integrieren und die entsprechenden Prozesse weiter zu verbessern.

Besondere Herausforderungen sind dabei die gewonnenen Erkenntnisse, etwa zu Schwachstellen, an die internen Helvetia-Richtlinien anzupassen und mit False-Positive-Meldungen entsprechend umzugehen. Auch müssen Kolleginnen und Kollegen bei einer solchen Transformation motiviert und auf den Weg mitgenommen werden. In diesem konkreten Fall geht es darum, die DevOps-Teams von der Arbeit mit dem neuen Tool und für die neuen Abläufe zu begeistern.

Mathias Conradt
Mathias Conradt
(Bild: Snyk)

Wie bei jedem Transformationsprozess braucht auch die Einführung eines DevSecOps-Ansatzes Zeit und bringt auch einige Herausforderungen mit sich. Man könnte es deshalb eher als eine Evolution statt einer Revolution betrachten. Aber ein solcher Prozess ist in vielerlei Hinsicht sehr lohnend, sowohl für Mitarbeiter und Kunden wie auch Unternehmen, die neue Anwendungen dann schnell und sicher bereitstellen können.

* Mathias Conradt ist Senior Solutions Engineer (DACH) bei Snyk.

(ID:47539521)