Suchen

Prozessoptimierung und Security im Einklang DevSecOps effektiv umsetzen

Autor: Melanie Staudacher

Für einen wirklich effizienten DevOps-Workflow müssen Entwicklungsansatz und IT-Security zusammengebracht werden. Die Transformation von DevOps zu DevSecOps und somit auch die nahtlose Anwendungssicherheit kann durch verschiedene Services und Tools, wie zum Beispiel die Prisma-Cloud-Plattform von Palo Alto Networks, unterstützt werden.

Firmen zum Thema

Mit den passenden Werkzeugen können DevSecOps-Ansätze in Unternehmen effektiv angewandt werden.
Mit den passenden Werkzeugen können DevSecOps-Ansätze in Unternehmen effektiv angewandt werden.
(Bild: © Guitafotostudio - stock.adobe.com)

Zeit ist Geld: Mehr und mehr Unternehmen nutzen DevOps-Modelle, um die Bereitstellung von Applikationen flexibler, effizienter und schneller zu gestalten. Umgesetzt wird das Ganze, indem Datensilos aufgelöst werden und die Kommunikation in den beteiligten Teams verbessert wird. Positive Outcomes sind zumeist schnellere Releases, qualitativ hochwertigere Produkte und höhere Kundenzufriedenheit. Oftmals vernachlässigen Unternehmen bei der Umsetzung von DevOps jedoch den Sicherheitsaspekt.

Shift Left

Martin Zeitler ist Director Systems Engineering bei Palo Alto
Martin Zeitler ist Director Systems Engineering bei Palo Alto
(Bild: Palo Alto Networks)

Im Wesentlichen ist DevSecOps ein Modell der Zusammenarbeit zwischen den Teams der Entwicklung (Dev), IT-Sicherheit (Sec) und IT-Betrieb (Ops) – und das über den gesamten Entwicklungsprozess hinweg von der Integrations- und Testphase bis zur Bereitstellung und Implementierung. Soll ein DevOps-Ansatz zu DevSecOps werden, muss die Security möglichst früh in der Entwicklung mithilfe von Tools und Automatisierung als Teil der bestehenden oder neu aufzubauenden Supply Chain eingebracht werden. Hier wird oft vom sogenannten Shift-Left-Ansatz gesprochen. Er beschreibt die Verlagerung verschiedener Sicherheitsmaßnahmen nach links, also in frühere Schritte des Softwarelebenszyklus. „Um genau zu sein in den frühestmöglichen Zeitpunkt, anstatt wie in vielen traditionellen Implementierungen die notwendigen Prüfungen von Sicherheitsaspekten am Ende des Lebenszyklus und als eine Art Release Blocker vorzunehmen. Dies erfordert die enge Verzahnung von Softwareentwicklung und IT-Sicherheit und den darin involvierten Teams. Sowohl auf der Ablauf- und Prozessebene als auch bei den dabei zum Einsatz kommenden Werkzeugen“, erläutert Martin Zeitler, Director Systems Engineering beim Sicherheitsexperten Palo Alto Networks.

DevSecOps umsetzen

Bereits in einer frühen Phase des Lebenszyklus einer Software sollten neben deren Funktionalität auch Aspekte der IT-Security getestet werden. Dazu gehört bereits die Auswahl der Softwarekomponenten, wie Base Image und Trusted Content, sowie Auswahl und Konfiguration der verwendeten Infrastruktur und Plattform. Damit kommen also Continuous Integration (CI) und Continuous Delivery beziehungsweise Continuous Deployment (CD) ins Spiel.

CI/CD steht für die Sammlung von Techniken und Werkzeugen, um die Softwareentwicklung und -auslieferung zu verbessern, indem die Ansätze für eine kontinuierliche Automatisierung und Überwachung über den gesamten Software-Lebenszyklus hinweg sorgen. Von der CI/CD-Pipeline wird gesprochen, wenn die Schritte bei der Softwarebereitstellung automatisiert als ein in sich geschlossener Feedback-Prozess aufeinander aufbauen. „Damit kann verhindert werden, dass Applikationen, die die entsprechenden definierten Mindestanforderungen und Policies nicht erfüllen, entweder gar nicht erst gespeichert oder zumindest nicht weiter verwendet werden können“, sagt Zeitler. Die verwendeten Komponenten, zum Beispiel Container Images, Serverless Applications oder Application Specifications, werden also nicht nur auf bekannte Sicherheitslücken hin untersucht, sondern auch auf Konfigurationsfehler und Compliance-Regelverstöße. Hierbei können verschiedene Policy-Enforcement-Methoden zum Einsatz kommen.

Das richtige Werkzeug

Damit die agierenden Teams in den verschiedenen Phasen alle sicherheitsrelevanten Aspekte betrachten können, bietet Palo Alto seine Cloud-native Sicherheitsplattform Prisma Cloud an. Dort können übergreifend auf verschiedenen Plattformen, Cloud-Infrastrukturen und Applikationstypen die Entwicklungsprozesse auf Vulnerabilities und die Einhaltung der Policy überprüft werden. Um auch in komplexen Multi-Cloud-Infrastrukturen und Hybrid-Umgebungen alle Phasen des Prozesses zu schützen, gibt es die Palo Alto Prisma Cloud Compute Edition. Darin sind ebenfalls Funktionen für einen effektiven DevSecOps-Ansatz enthalten: Schwachstellenanalyse, Compliance, CI/CD-Integration, Überwachung des Laufzeitverhaltens, Cloud-native Firewalls und Zugangskontrollen.

(ID:46658187)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH