Mehr Sicherheit für die CI/CD-Pipeline DevSecOps als Vorgabe der Cyberversicherung?

Ein Gastkommentar von Andreas Müller * Lesedauer: 3 min |

Anbieter zum Thema

Weil Cyberversicherungen mögliche Bedrohungen nur schwer kalkulieren können, passen sie ihre Konditionen und Anforderungen immer wieder dynamisch an. Auch DevSecOps-Praktiken könnten bald erforderlich sein, betroffene Unternehmen sollten sich daher frühzeitig vorbereiten.

Nicht ausgeschlossen, dass Cyberversicherungen künftig auf der Einhaltung von DevSecOps-Best-Practices bestehen.
Nicht ausgeschlossen, dass Cyberversicherungen künftig auf der Einhaltung von DevSecOps-Best-Practices bestehen.
(Bild: Kindel Media / Pexels)

Schnelle, iterative DevOps-Workflows gehen oft mit Sicherheitsrisiken im Zusammenhang mit der Verwaltung von Berechtigungen einher. So ist bei zunehmendem Wettbewerbsdruck rund um eine schnellere Softwarebereitstellung die gemeinsame Nutzung von privilegierten Zugriffen auf sämtliche Container, Server und Anwendungen oder die Verwendung von im Code eingebetteten Klartext-Anmeldeinformationen sehr verlockend.

Hackern spielt das in die Hände. Sicherheitsunternehmen konnten in den letzten Monaten etwa beobachten, dass Cyberkriminelle immer öfter im Code eingebettete Klartext-Anmeldeinformationen, API-Zugangsschlüssel und sensible Konfigurationsdaten für großangelegte Ransomware-Attacken nutzen. Und auch der bekannte Hacker-Angriff auf den IT-Dienstleister Kaseya im Jahr 2021 erfolge über die DevOps-Pipeline.

Warum man sich mit DevSecOps beschäftigen sollte

Vor dem Hintergrund dieser Bedrohungen gewinnt die Integration einer Sicherheitskultur in DevOps-Praktiken immer mehr an Bedeutung – sowohl für die Unternehmen als auch vermehrt für die Versicherer, die sich selbst vor der sich verschärfenden Bedrohungslandschaft und den immer höheren Schadensummen schützen müssen.

DevSecOps bietet hier einen innovativen Ansatz für die Softwareentwicklung, bei dem Sicherheitsprüfungen und -funktionen in allen Phasen des Lebenszyklus einer Software integriert werden. Angefangen von der Entwurfsphase über die Integration, das Testen, die Bereitstellung und die endgültige Auslieferung der Software sorgt DevSecOps dafür, dass die Sicherheit von Anwendungen ein kontinuierlicher und automatisierter Prozess ist. So können DevOps-Praktiken selbst solche Sicherheitsschwachstellen aufdecken, die direkt mit der Verwaltung von Berechtigungen zusammenhängen. 

Die Scheu vor DevSecOps

Dass viele Unternehmen das Thema DevSecOps bisher stiefmütterlich behandelt haben, liegt unter anderem daran, dass es sich um eine neue Security-Disziplin handelt, die einzigartige Herausforderungen mit sich bringt. Viele scheuen davor zurück, weil sie eine Beeinträchtigung ihrer agilen Entwicklung und damit eine Minderung ihrer Wettbewerbsfähigkeit befürchten.

Konkret sorgen sie sich, dass die CI/CD-Pipeline, die Code produziert, verlangsamt werden könnte. Da DevSecOps für eine umfassende Sicherheit von Unternehmen jedoch immer wichtiger wird, wird es Zeit, diese Zweifel aus dem Weg zu räumen und Wege zu finden, die Praktiken reibungslos in die bestehende Sicherheitsstrategie zu integrieren.

Warum PAM für DevOps ein guter Anfang ist

Dabei ist wichtig, nichts zu überstürzen oder sofort in neue Technologien zu investieren, sondern Schritt für Schritt vorzugehen und zu priorisieren. Ein sinnvoller Anfang kann sein, erst einmal das eigene Privileged-Access-Management um eine effektive Verwaltung von DevOps-Secrets zu erweitern. Immerhin können privilegierte Zugriffe auf sämtliche Container, Server und Anwendungen erfolgen.

Die Herausforderung dabei ist, schnelle, dynamische DevOps-Zyklen und Robotic Process Automation (RPA) mit den nötigen Sicherheitsrichtlinien in Einklang zu bringen. Moderne PAM-Lösungen können diese Herausforderungen meistern, indem sie ein Secrets-Management in DevOps-Geschwindigkeit bieten – ohne den Entwicklungsprozess zu beeinträchtigen.

  • Hochgeschwindigkeits-Tresor: Modernes PAM bietet einen verschlüsselten, zentralen, SaaS-basierten Vault, der den speziellen Anforderungen von DevOps-Teams an Geschwindigkeit und Agilität gerecht wird, und privilegierte Zugangsdaten in nur wenigen Minuten speichert.
  • Zentralisierte Geheimnisse: Modernes PAM eliminiert heterogene Vault-Instanzen, erzwingt einen sicheren Zugriff auf Secrets und erstellt ein lückenloses Auditprotokoll, das den Verantwortlichen Einblick in sämtliche privilegierte Aktivitäten gewährt.
  • Automatisierung und Skalierung: Modernes PAM bietet eine automatisierte Schnittstelle (CLI und API), die für Geschwindigkeit und Umfang von DevOps-Pipelines und RPA-Implementierungen und -Tools optimal ausgelegt ist.
  • Ausstellen von Zertifikaten: Modernes PAM unterstützt das Ausstellen von X.509- und SSH-Zertifikate und deren automatische Signierung und Verteilung.
  • Just-in-Time-Zugriffe: Modernes PAM entfernt permanenten Zugang zu Datenbanken wie MySQL, PostgreSQL, Oracle etc. sowie zu Cloud-Plattformen, wie AWS, Azure oder GCP und setzt stattdessen auf sichere Just-in-Time-Zugriffe.

Fazit

Cyberversicherer erwarten von ihren Kunden heutzutage Sicherheitsmaßnahmen, die insbesondere auch das Identitäts- und Zugriffsmanagement abdecken. Setzen Unternehmen irgendeine Art von DevOps-Prozessen ein, empfiehlt es sich daher, PAM-Lösungen zu implementieren, die auch DevOps-Secrets effektiv absichern. Dazu braucht es jedoch Tools, die die Geschwindigkeit und die Agilität unterstützen, die für DevOps-Team-Workloads erforderlich sind.

* Über den Autor
Andreas Müller ist Vice President DACH bei Delinea.

Bildquelle: Delinea

(ID:49762807)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung