Die Trennung zwischen DevOps und IT-Security wird immer mehr aufgerissen – und das ist nicht gut so: Auch ein agiler Betrieb muss sicher sein. Dieselben IT-Sicherheitsregeln, die für das Unternehmen gelten, müssen auch für die DevOps-ler zwingend sein. Zudem gibt es oft auch ein kulturelles Problem: Beim schnellen DevOps bremst die Sicherheit nur aus - Entwickler und Security-Mitarbeiter arbeiten oft gegeneinander. Vier Tipps, wie Sie der Spaltung entgegenwirken können:

  • Die Vorteile der Automatisierungs-Tools nutzen
    Die im DevOps-Konzept verwendeten Tools für Entwicklung, Integration, Test, Bereitstellung oder Überwachung lassen sich bestens mit IT-Sicherheitswerkzeugen kombinieren. So wie der Code im Prozess permanent verbessert wird, lässt sich dann auch die Sicherheit kontinuierlich steigern. Die Security-Checks müssen mit in den Zyklus eingeplant werden: Die Verantwortlichen für die Security müssen ihrem Team genügend Zeit einräumen können, um eine bestmögliche Sicherheit zu leisten. Spielen diese beiden Teams Hand in Hand und sind die Regeln klar definiert, stören sie sich nicht gegenseitig und es kommt zu einem optimalen Ergebnis.

  • Kein Software-Wildwuchs
    Mit DevOps ist die Abhängigkeit von Drittanbietern und deren Softwarekomponenten deutlich gestiegen, da DevOps-Entwickler immer versuchen schon bestehende Software zu benutzen. Aber es birgt natürlich auch Gefahren: Glibc Vulnerability, Drown Attack, HeartBleed oder ShellShock sind nur Beispiele, wenn auch heftige, für die Bedrohungen, die dadurch entstehen können. Es sollte also immer klar sein, woher und in welchem Umfang Drittanbieter-Software eingesetzt wird. Am besten mit einer standardisierten und validierten Bibliothek von Komponenten. Der Aufwand diese Standardkomponenten dann aktuell zu halten ist gering – vor allem, wenn Sie sich auf wenige Komponentenversionen beschränken.
    Auch hierbei helfen die Automatisierungs-Tools von DevOps: Sie können unsichere Komponenten schon während der Entwicklung erkennen. Dadurch wird automatisch sichergestellt, dass der Software-Wildwuchs keine Schwachstellen bei den Releases enthält.
    Auch im laufenden Betrieb können automatisierte Lösungen helfen. Regelmäßige automatische Scans zeigen den aktuellen Schwachstellenstand der Produktivumgebung auf. Das Security-Team hat damit stets einen Überblick über die aktuelle Gefahrenlage und kann sehr schnell auf Bedrohungen reagieren.

  • Security automatisieren
    Da an einem gewissen "Wildwuchs" natürlich kein Weg vorbeiführt, muss von Anfang an ein Scanner mitlaufen , der Ihre Software immer auf bekannte Schwachstellen untersucht. Erkennt der Scanner zum Beispiel, dass sie einen nginx mit der HeartBleed-Sicherheitslücke einsetzen, muss es eine Alarmmeldung geben und Ihr DevOps-Team muss sich einen Fix überlegen. In der Regel ist dies mit einer neueren Versionsnummer getan. Dafür muss unbedingt auch Pufferzeit einkalkuliert werden.

  • Auch DevOps-Security braucht Strukturen
    DevOps-Prozesse entwickeln sich gerne organisch – Security wird zumeist nur wenig oder punktuell betrachtet und von Team zu Team unterschiedlich ausgelegt. Das darf natürlich nicht passieren. Sie sollten Ihre DevOps-Prozesse, wo möglich, von vornherein standardisieren – damit sparen Sie sich ein böses Erwachen.

DevOps-Booklet zum kostenlosen Download
Die DevOps-Methodik ist längst Standard in der agilen Software-Entwicklung – aber was steckt überhaupt dahinter? Wie setzen Sie sie ein und welche Herausforderungen gibt es dabei für Sie? In unserem Booklet zum Thema DevOps beantworten wir genau diese Fragen. Wir zeigen Ihnen aber auch an Praxisbeispielen, wie sich DevOps bewährt und welche Erfolge man damit haben kann. Außerdem können Sie sehen, was x-cellent technologies Ihnen an Produkten anbietet, damit auch Ihr DevOps-Projekt ein voller Erfolg wird.

Laden Sie sich unser kostenloses DevOps-Booklet jetzt herunter.