IT-BUSINESS Aktion:

#ITfightsCorona

Prozessoptimierung und Security im Einklang

DevSecOps effektiv umsetzen

| Autor: Melanie Staudacher

Mit den passenden Werkzeugen können DevSecOps-Ansätze in Unternehmen effektiv angewandt werden.
Mit den passenden Werkzeugen können DevSecOps-Ansätze in Unternehmen effektiv angewandt werden. (Bild: © Guitafotostudio - stock.adobe.com)

Mehr zum Thema

Für einen wirklich effizienten DevOps-Workflow müssen Entwicklungsansatz und IT-Security zusammengebracht werden. Die Transformation von DevOps zu DevSecOps und somit auch die nahtlose Anwendungssicherheit kann durch verschiedene Services und Tools, wie zum Beispiel die Prisma-Cloud-Plattform von Palo Alto Networks, unterstützt werden.

Zeit ist Geld: Mehr und mehr Unternehmen nutzen DevOps-Modelle, um die Bereitstellung von Applikationen flexibler, effizienter und schneller zu gestalten. Umgesetzt wird das Ganze, indem Datensilos aufgelöst werden und die Kommunikation in den beteiligten Teams verbessert wird. Positive Outcomes sind zumeist schnellere Releases, qualitativ hochwertigere Produkte und höhere Kundenzufriedenheit. Oftmals vernachlässigen Unternehmen bei der Umsetzung von DevOps jedoch den Sicherheitsaspekt.

Shift Left

Martin Zeitler ist Director Systems Engineering bei Palo Alto
Martin Zeitler ist Director Systems Engineering bei Palo Alto (Bild: Palo Alto Networks)

Im Wesentlichen ist DevSecOps ein Modell der Zusammenarbeit zwischen den Teams der Entwicklung (Dev), IT-Sicherheit (Sec) und IT-Betrieb (Ops) – und das über den gesamten Entwicklungsprozess hinweg von der Integrations- und Testphase bis zur Bereitstellung und Implementierung. Soll ein DevOps-Ansatz zu DevSecOps werden, muss die Security möglichst früh in der Entwicklung mithilfe von Tools und Automatisierung als Teil der bestehenden oder neu aufzubauenden Supply Chain eingebracht werden. Hier wird oft vom sogenannten Shift-Left-Ansatz gesprochen. Er beschreibt die Verlagerung verschiedener Sicherheitsmaßnahmen nach links, also in frühere Schritte des Softwarelebenszyklus. „Um genau zu sein in den frühestmöglichen Zeitpunkt, anstatt wie in vielen traditionellen Implementierungen die notwendigen Prüfungen von Sicherheitsaspekten am Ende des Lebenszyklus und als eine Art Release Blocker vorzunehmen. Dies erfordert die enge Verzahnung von Softwareentwicklung und IT-Sicherheit und den darin involvierten Teams. Sowohl auf der Ablauf- und Prozessebene als auch bei den dabei zum Einsatz kommenden Werkzeugen“, erläutert Martin Zeitler, Director Systems Engineering beim Sicherheitsexperten Palo Alto Networks.

DevSecOps umsetzen

Bereits in einer frühen Phase des Lebenszyklus einer Software sollten neben deren Funktionalität auch Aspekte der IT-Security getestet werden. Dazu gehört bereits die Auswahl der Softwarekomponenten, wie Base Image und Trusted Content, sowie Auswahl und Konfiguration der verwendeten Infrastruktur und Plattform. Damit kommen also Continuous Integration (CI) und Continuous Delivery beziehungsweise Continuous Deployment (CD) ins Spiel.

CI/CD steht für die Sammlung von Techniken und Werkzeugen, um die Softwareentwicklung und -auslieferung zu verbessern, indem die Ansätze für eine kontinuierliche Automatisierung und Überwachung über den gesamten Software-Lebenszyklus hinweg sorgen. Von der CI/CD-Pipeline wird gesprochen, wenn die Schritte bei der Softwarebereitstellung automatisiert als ein in sich geschlossener Feedback-Prozess aufeinander aufbauen. „Damit kann verhindert werden, dass Applikationen, die die entsprechenden definierten Mindestanforderungen und Policies nicht erfüllen, entweder gar nicht erst gespeichert oder zumindest nicht weiter verwendet werden können“, sagt Zeitler. Die verwendeten Komponenten, zum Beispiel Container Images, Serverless Applications oder Application Specifications, werden also nicht nur auf bekannte Sicherheitslücken hin untersucht, sondern auch auf Konfigurationsfehler und Compliance-Regelverstöße. Hierbei können verschiedene Policy-Enforcement-Methoden zum Einsatz kommen.

Das richtige Werkzeug

Damit die agierenden Teams in den verschiedenen Phasen alle sicherheitsrelevanten Aspekte betrachten können, bietet Palo Alto seine Cloud-native Sicherheitsplattform Prisma Cloud an. Dort können übergreifend auf verschiedenen Plattformen, Cloud-Infrastrukturen und Applikationstypen die Entwicklungsprozesse auf Vulnerabilities und die Einhaltung der Policy überprüft werden. Um auch in komplexen Multi-Cloud-Infrastrukturen und Hybrid-Umgebungen alle Phasen des Prozesses zu schützen, gibt es die Palo Alto Prisma Cloud Compute Edition. Darin sind ebenfalls Funktionen für einen effektiven DevSecOps-Ansatz enthalten: Schwachstellenanalyse, Compliance, CI/CD-Integration, Überwachung des Laufzeitverhaltens, Cloud-native Firewalls und Zugangskontrollen.

DevOps auf dem Vormarsch

IDC-Studie

DevOps auf dem Vormarsch

11.02.20 - IDC hat IT- und Fachentscheider aus 205 Organisationen mit mehr als 100 Mitarbeitern aus allen Branchen in Deutschland befragt, um Einblicke in die Nutzung, Umsetzungspläne, technologische Treiber, Herausforderungen und Erfolgsfaktoren von DevOps zu erhalten. lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46658187 / Hersteller)