Was ist DevOps-Sicherheit?

DevSecOps verteilt und teilt die Sicherheitsverantwortung zwischen den verschiedenen beteiligten Entwicklungs-, Betriebs- und Sicherheitsteams .

Der Bedarf an erhöhter DevOps-Sicherheit ergibt sich aus der allgegenwärtigen Präsenz aktiver Cyberbedrohungen, die Teil der aktuellen Situation geworden sind. Diebstahl und Sabotage sind keine neuen Elemente menschlichen Verhaltens – nur die Art der gestohlenen Materialien und die verwendeten Methoden haben sich geändert. Moderne Piraten suchen lukrative Data Caches statt Goldschätze und nutzen elektronischen Diebstahl, um ihre Verbrechen zu begehen.

Diese Kriminellen sind derart geschickt darin geworden, Cybersicherheitslücken in Softwaresystemen – auf allen Entwicklungsstufen – auszunutzen, dass zukunftsorientierte Unternehmen nun Wege finden, ihren Sicherheitsstatus in jeder Entwicklungsphase zu stärken und zu verbessern. DevSecOps unterstützt in vollem Maße diese Mission, Sicherheitsherausforderungen wie Datenschutzverletzungen und andere Sicherheitslücken zu bekämpfen, wo immer sie im Entwicklungsprozess verborgen sein mögen.

Der Anstieg von DevSecOps markiert einen Wandel in der Einstellung der Unternehmen zu Sicherheitsthemen. Früher wurde die Sicherheit im DevOps-Bereich von vielen Unternehmen eher vernachlässigt. Die Sicherheitsprüfungen wurden zusammen mit anderen abschließenden Prüfungen am Ende des SDLC durchgeführt. Dadurch konnten häufig Silos entstehen, die Schwachstellen verbergen konnten. Die eventuell erforderlichen Korrekturen kosteten sogar noch mehr, als wenn sie früher erkannt und behoben worden wären.

Diese alten Ansichten existieren zwar immer noch, aber für die meisten hat sich DevOps-Sicherheit deutlich weiterentwickelt. DevSecOps ist sich der fortgeschrittenen Komplexität der vielen Arten von Bedrohungen, mit denen Softwareentwicklungsteams heutzutage konfrontiert sind, voll bewusst und versucht, Cybersicherheit in einer früheren Entwicklungsphase zu lösen und die gemeinsame Verantwortung für die Bekämpfung von Sicherheitsrisiken auf mehrere oder alle zugehörigen Teammitglieder zu verteilen.

Dieses Konzept, erhöhte Sicherheit bereits in einem früheren Projektstadium von vornherein zu integrieren, wird als „Shift Left“ bezeichnet. Der Begriff setzt voraus, dass der Betrachter eine Produktionszeitleiste von links nach rechts betrachtet. Shift-Left-Testing bedeutet, dass verstärkte Tests am linken Ende des Diagramms, nahe dem Beginn der Projektaktivitäten, integriert werden.

Die Schaffung und Gewährleistung der Sicherheit erfordert eine Reihe von beweglichen Teilen und unterschiedlichen Praktiken, die ordnungsgemäß aufeinander abgestimmt sein müssen.

Betrachten Sie es als Verteidiger am Tor, der unerwünschte Eindringlinge abhält. Die Zugriffskontrolle regelt die Vergabe von Berechtigungen an Personen, die auf digitale Ressourcen zugreifen möchten. Dies geschieht durch Authentifizierungsprozesse, die die individuelle Identität bestätigen und speziell autorisierten Benutzern privilegierten Zugriff gewähren. Zugriffsmanagement spielt eine Schlüsselrolle bei der Einhaltung regulatorischer Anforderungen wie HIPAA, das die Vertraulichkeit medizinischer Patientendaten schützt.

Die Aufgabe, zu definieren, wie sich Software verhalten soll, obliegt den vorhandenen DevSecOps-Frameworks. Frameworks bieten Informationen über Best Practices, verwandte Prozesse und Sicherheitstools. Sie legen ebenfalls dar, wie die Sicherheit in die jeweiligen Entwicklungsphasen integriert werden soll und welche Abhängigkeiten zwischen verschiedenen Software-Komponenten oder Systemen bestehen. Dies unterstützt das Schwachstellenmanagement und den Schutz von Produktionsumgebungen.

Beim Konfigurationsmanagement im Systems-Engineering-Prozess liegt der Schwerpunkt darauf, sicherzustellen, dass die Eigenschaften eines Produkts über seinen gesamten Lebenszyklus hinweg konsistent bleiben. Ohne die große Anzahl von Änderungen, die ein Softwaresystem routinemäßig verarbeiten muss, wäre kein Konfigurationsmanagement erforderlich. Das Konfigurationsmanagement stellt sicher, dass das System trotz Änderungen wie geplant funktioniert.

Anstatt blind davon auszugehen, dass die Unternehmenssoftware sicher ist, geht das Schwachstellenmanagement davon aus, dass dies möglicherweise nicht der Fall ist und sie einer Vielzahl von Sicherheitsverbindlichkeiten unterliegen könnte. Es handelt sich dabei um einen stark proaktiven Ansatz, der darauf aufbaut, zunächst potenzielle Schwachstellen durch Schwachstellen-Scans der Codebasis zu identifizieren und diese Schwachstellen später durch Sanierung zu beheben, bevor sie von Cyberkriminellen ausgenutzt werden können.

Das Geheimnismanagement ist eine weitere verwandte Disziplin, die sich mit dem dringenden und anhaltenden Bedarf an sicheren Informationen befasst. Wie der Name schon sagt, hilft das Geheimnismanagement Benutzern beim Speichern und Verwalten sensibler Daten wie Passwörter, Verschlüsselungsschlüssel (Geheimcodes zur Datensicherung) und API-Schlüsseln, die die Anwendung autorisieren, wenn sie mit einer Programmierschnittstelle (API) interagieren.

Cloud-Umgebungen sind oft reichlich gefüllte Daten-Repositorys, sodass sie den zusätzlichen Schutz benötigen, den DevSecOps bietet. Cloudnative Apps müssen schnell einsatzbereit sein, und DevSecOps trägt dazu bei dabei, indem es einen reibungslosen Betrieb auch bei ihren kurzen Entwicklungszyklen gewährleistet. DevOps-Sicherheit schützt Workloads außerdem vor Fehlkonfigurationen und anderen Cyberbedrohungen.

Es ist leicht gesagt, dass ein Unternehmen zusätzliche Anstrengungen unternimmt, um wirksame Sicherheitsmaßnahmen aufrechtzuerhalten. Damit ein Unternehmen jedoch seine Sicherheitsziele vollständig erreichen kann, muss es neben effektiven DevOps-Prozessen auch Best Practices übernehmen. Hier sind einige der wichtigsten Konzepte, die dazu beitragen, dass sich DevSecOps auszahlt.

Wie Sie an diesen Beispielen sehen können, gibt es unter den verschiedenen DevSecOps-Testsystemen eine ganze Reihe von Spezialisierungen:

• Anwendungssicherheitstests (AST): Wie der Name schon sagt, beschäftigt sich Anwendungssicherheitstests (AST) mit der Bewertung der Sicherheitsprobleme, die Anwendungen betreffen. AST umfasst eine Reihe von sehr einzigartigen Tests, die jeweils ihre eigene Interpretation des DevOps-Prozesses haben.    
  • Static Application Security Testing (SAST) ermöglicht es Testern, Sicherheitslücken in einer Anwendung durch Codeanalyse des Quellcodes, Bytecodes oder Binärcodes zu erkennen.
  • Dynamic Application Security Testing (DAST) ist ein Cybersicherheitsprozess, bei dem Anwendungen ausgeführt und ihr Verhalten auf Anomalien überprüft wird. Mit DAST können Teams sehen, wie Apps auf reale Cyberangriffe reagieren.
• Penetrationsprüfung: Bei der Penetrationsprüfung, auch „Pen Testing“ genannt, handelt es sich um einen simulierten Cyberangriff (ausgelöst von einem Sicherheitsexperten, der sich als Hacker ausgibt) auf eine Anwendung, ein Netzwerk oder ein System. Dabei handelt es sich im Grunde um eine Art Notfallübung, bei der die Sicherheitsinfrastruktur eines Unternehmens einem eindringenden Angriff gegenübergestellt wird, um zu sehen, ob die Ressourcen des Unternehmens dem Schaden standhalten und noch ordnungsgemäß funktionieren.
• Analyse der Softwarezusammensetzung: Die Analyse der Softwarezusammensetzung bewertet die Komponenten, die in einer Anwendung enthalten sind, und überprüft sie auf mögliche Schwachstellen. Zu diesen Komponenten gehören Code von Drittanbietern und Open-Source-Bibliotheken. Die Analyse der Softwarezusammensetzung hilft auch bei der Einhaltung der Lizenzbestimmungen.

Die DevSecOps-Methodik ist vielseitig und kann für eine Vielzahl von Programmierzwecken angewendet werden:

• Kubernetes: Die Kubernetes-Plattform arbeitet Hand in Hand mit DevSecOps-Praktiken, insbesondere wenn es darum geht, containerisierten Apps und Infrastrukturen mehr Sicherheit zu verleihen. Kubernetes fördert ein sicherheitsbasiertes Framework, in dem Bedrohungen effektiv erkannt, analysiert und entschärft werden – vom Anfang der Entwicklung über die Bereitstellung bis zur Laufzeit (also der Zeitraum, in dem das Computerprogramm ausgeführt wird).
• Microservices: Microservices ergeben sich aus der Idee, dass eine Anwendung aus einer Reihe kleinerer, lose gekoppelter Services zusammengesetzt werden kann, die unabhängig sind. Während dies Apps ermöglicht, die mehr Skalierbarkeit und Agilität bieten und in einem schnelleren Release-Zyklus eingeführt werden können, sind Microservice-Architekturen von Natur aus komplexer und benötigen daher die zusätzliche Sicherheitsunterstützung, die DevSecOps bietet.   
• Lieferketten: Lieferketten profitieren stark von DevSecOps. Lieferketten können erschreckend kompliziert sein, und eine solche Komplexität bietet Hackern oft die Möglichkeit, Malware zu verstecken. Das Management der Lieferkette erfordert eine „saubere“ Produktionsumgebung, und DevSecOps trägt dazu bei, dies zu fördern.