DevSecOps für mehr Produktivität

IT-Sicherheit vs. Agilität

| Autor / Redakteur: Alexander Busshoff * / Stephan Augsten

DevOps-Teams und Security-Abteilung sollten an einem Strang ziehen – allerdings nicht gegeneinander.
DevOps-Teams und Security-Abteilung sollten an einem Strang ziehen – allerdings nicht gegeneinander. (Bild: Peggy Marco / Pixabay)

DevOps- und IT-Security-Teams scheinen inkompatibel zu sein: Die einen wollen mehr Agilität in der Softwareentwicklung, die anderen müssen die Integrität und Sicherheit der bereitgestellten Applikationen gewährleisten. Wie also bringt man die beiden Gruppen zusammen?

Dass DevOps- und IT-Sicherheitsteams oft Schwierigkeiten haben, ihre Abteilungen aufeinander abzustimmen, ist nichts Neues. Zudem müssen sie ein kohärentes Gleichgewicht zwischen der Sicherheit eines Unternehmens und der Entwicklung neuer Anwendungen wahren, um das Interesse der Kunden aufrechtzuerhalten.

Sicherheitsprozesse sind dafür unabdingbar. Dennoch werden sie von DevOps-Teams als umständlich empfunden, da sie die Agilität blockieren, effizient und schnell neue Applikationen und Produkte einzuführen. Umgekehrt sind IT-Sicherheitsteams der Meinung, dass bei ihren DevOps-Kollegen nur zu oft die Sicherheit zugunsten von Innovation und Umsatz auf der Strecke bleibt.

Selbst wenn beide Teams die Absichten des anderen respektieren, kann jede Unstimmigkeit zu Verzögerungen in Prozessen führen. DevOps sind flexibler und agiler, sie haben mehr Spielraum, was ihr Handeln angeht, da sie ein wichtiger Bestandteil der heutigen Softwareentwicklung sind. Sie können meistens auch selbst entschieden, ob sie die IT-Sicherheit involvieren.

Daraus entstand der Mythos, dass DevOps-Teams das Thema Sicherheit ignorieren. Tatsächlich wollen Entwickler, dass ihre Apps und die Umgebung, in der sie arbeiten, sicher sind. Gleichzeitig soll Sicherheit für eine schnelle Bereitstellung neuer Produkte und Softwarefunktionen kein Hemmnis darstellen.

So stellt sich also die Frage, wie DevOps-Teams – eine der wichtigsten Ressourcen in vielen modernen Unternehmen – Sicherheit gewährleisten können, ohne dass die Agilität auf der Strecke bleibt. Kann die Integration von DevOps und Sicherheit so erfolgen, dass Spannungen abgebaut und die Zusammenarbeit gefördert werden, während gleichzeitig Sicherheit und Agilität optimiert werden? Der Schlüssel ist die Automatisierung.

Abstimmung durch Automatisierung

Wegen der offensichtlichen finanziellen Folgen und Reputationsrisiken bei einem Sicherheitsvorfall konzentrieren sich Führungskräfte mittlerweile zunehmend auf die IT-Sicherheit. Daher sollten DevOps-Teams klar definieren, wie sie ihre Projekte und Produktionsumgebungen schützen und absichern. Durch die Automatisierung der Sicherheit im Rahmen der CI/CD-Prozesse können DevOps-Teams die Sicherheitsrichtlinien des Unternehmens problemlos einhalten. Dieser Prozess kann bedenkenlos weiterlaufen und den Aufwand für die IT-Sicherheitsteams minimieren.

Richtlinienänderungen und -aktivitäten werden immer weiter automatisiert, so kann die Fehlerhäufigkeit erheblich reduziert werden. Obwohl die Automatisierungslösung im Hintergrund läuft, kann sie jederzeit verwendet werden. Ein Einblick in die geschäftskritischen Daten wie Schwachstellen, Compliance-Anforderungen, Sicherheitsrichtlinien und Netzwerkkonnektivität ist stets möglich.

Im täglichen Betrieb und in der Kommunikation sind DevOps-Teams bereits mit automatisierten Tools vertraut. Dem Wechsel zu einer Sicherheitslösung, die in ihre bestehenden Prozesse integriert werden kann, steht also nichts im Wege.

Automatisierung spielt für zuverlässige, effektive und vernetzte „DevSecOps“-Teams eine tragende Rolle. Denn mit ihr wird die sichere Option auch zur einfachen Option. Sie kombiniert die bisherige Verwendung automatisierter Tools von DevOps, die für die fortlaufenden, pünktlichen und budgetgerechten Implementierungen verwendet werden mit dem Fokus auf Sicherheit, der menschliche Fehler reduzieren und die Sichtbarkeit potenzieller Schwachstellen gewährleisten soll.

Erfolgreiche Integration

DevOps steht und fällt mit Zusammenarbeit und gemeinsamer Verantwortung. Um Sicherheit erfolgreich in den DevOps-Prozess zu integrieren, müssen Sicherheitsteams und Entwickler jedoch zusammenarbeiten und eine gemeinsame Verantwortung festlegen.

Unternehmen könnten beispielsweise in jedem Entwicklungsteam einen Sicherheitsbeauftragten festlegen. Diese Person fungiert als zentrales Bindeglied zwischen den beiden Teams – für eine verbesserte Kommunikation und den Aufbau eines ausgewogenen Prozesses, der die gegenseitigen Interessen berücksichtigt. Ein kontinuierlicher Wissensaustausch zwischen Entwicklungs- und Sicherheitsteams gewährleistet einen Reifegrad, mit dem Unternehmen Anwendungen und Services mit einer automatisierten Lösung absichern können.

Sicherheitsteams können dann damit beginnen, Richtlinien zu definieren, mit denen Entwicklungsteams CD durchführen als auch Sicherheits- und Compliance-Richtlinien einhalten können. Das ist für beide Teams von entscheidender Bedeutung: Denn diese neue Arbeitsweise bedeutet, dass Entwickler den Sicherheitsstatus bei jedem Schritt in der CI/CD-Pipeline testen und gegebenenfalls korrigierend eingreifen können. Sicherheitsteams können wiederum Sicherheit und Compliance während des gesamten Entwicklungsprozesses gewährleisten.

Zusammenarbeit wertschätzen

Zweifel daran, dass DevOps- und IT-Sicherheitsteams reibungslos miteinander arbeiten, sind dabei völlig unbegründet. Zwar stehen beide Teams unter gegenseitigem Einfluss, jedoch nicht wegen Konflikten, sondern geschäftlicher Anforderungen. Wenn beide Teams zusammenarbeiten, können sie sowohl ihre Ziele erreichen als auch ihren Teil zu einem sicheren, innovativen und rentablen Unternehmen beitragen.

Alexander Busshoff
Alexander Busshoff (Bild: Tufin)

Der erste Schritt dabei ist, zu erkennen, wie wichtig die Zusammenarbeit ist. Indem DevOps-Teams die Sicherheit akzeptieren und sich nicht weiter darum zu kümmern brauchen, können sie die Kontrolle über ihre Bedürfnisse im Zusammenhang mit den Prozessen der IT-Teams behalten. Anschließend kann eine automatisierte Sicherheitslösung bereitgestellt werden, um die Effizienz und die Ergebnisse beider Abteilungen – und damit des gesamten Unternehmens – zu optimieren. Es ist also an der Zeit, dass DevOps zu DevSecOps werden.

* Alexander Busshoff ist Solution Architect EMEA bei Tufin.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46032770 / Softwareentwicklung)