DevSecOps – Wie Security und DevOps miteinander verbunden werden

Die Entscheidung auf diese Weise zu arbeiten, legt häufig den Grundstein für eine deutlich kürzere Time-to-Market, höhere Qualität und bessere Anpassungsfähigkeit an die Bedürfnisse der Kund*innen.

Im Idealfall werden diese Ziele in geteilten Verantwortlichkeiten und in viel kürzerer Zeit erreicht. Doch die Realität sieht meist anders aus – insbesondere bei der effizienten Einbindung der Security-Abteilung bzw. der Umsetzung entsprechender Anforderungen.

Einführung von DevOps

Hat sich ein Unternehmen generell für die Einführung von DevOps entschieden, stellt sich recht schnell die Frage, was das in der Praxis bedeutet. DevOps-Organisationsformen gibt es in vielen verschiedenen Ausprägungen. Ein Unterscheidungsmerkmal sind die Topologien, die beschreiben, wie eng und in welcher Form die jeweiligen Bereiche miteinander arbeiten. Ebenso muss bedacht werden, DevOps nicht allein auf Entwicklung und Betrieb auszurichten, sondern auch um weitere Dimensionen wie z.B. Security (Sec) zu ergänzen. Generell empfiehlt es sich, die Unternehmensprozesse regelmäßig hinsichtlich ihres Integrationspotentials in die DevOps-Teams zu überprüfen und diese so kontinuierlich auf sich ändernde Anforderungen anzupassen.

Orientierung für Unternehmen bietet unser 5-Pillar-Modell, welches die aus unserer Sicht wichtigen Stützen von DevOps beschreibt und Entscheidungshilfe bietet.

Warum viele DevOps-Einführungen an der Security scheitern

Eine falsche bzw. eine nur stückweise Implementierung von DevOps kann hingegen schnell zu Problemen mit anderen Dimensionen, wie der Sicherheit des Produktes, führen. Die von uns häufig beobachteten Folgen sind beispielsweise:

• Es fehlt ein einheitliches Verständnis über die Rollen und Verantwortlichkeiten für Cybersicherheit. Somit wird das Thema weder strukturiert noch durch verantwortliche Personen getrieben und zeitnah eingebunden.
• Expertise und Bewusstsein für Cybersicherheit sind im DevOps-Team unterrepräsentiert. Es kommt somit dazu, dass relevante Sicherheitsaspekte weniger bekannt sind, noch auf diese in der richtigen Form reagiert wird.
• Bestehende Möglichkeiten zur Verringerung von Cybersicherheitsrisiken werden selten eingesetzt oder folgen nicht den definierten architektonischen Richtlinien. Zunehmend werden häufig punktuelle Sicherheitsmaßnahmen umgesetzt, die keinem gesamtheitlichen Ansatz folgen.
• Sicherheitsspezifische Tests werden häufig manuell und in zu geringen Ausmaßen vorgenommen, wobei Potentiale von Test-Automatisierungen und somit Gewinn von Geschwindigkeit und Security, verschenkt werden.
• Die internen Cybersicherheit-Vorgaben sind nicht ausreichend auf Cloud-Umgebungen und deren bereits bereitgestellten Security-Lösungen abgestimmt.

Weg von Security als Silo

Statt Security an das Ende oder erst überhaupt nicht als Teil der eigentlichen Entwicklung zu setzen, integriert man sie in die einzelnen DevOps-Pillars und behandelt Security als gleichwertige Anforderung wie beispielsweise Verfügbarkeit, Funktionalität oder Design, die zwingend notwendig ist, um die Qualität eines Produktes sicherzustellen. Wie beschrieben, stellt dies viele Organisationen vor Herausforderungen. Es benötigt ein Umdenken – weg von der Security als Silo und von dem Verständnis einer „reaktiven“ Abteilung, hin zu einem Themenkomplex, der bereits bei jeder einzelnen Handlung mitgedacht wird und proaktiv eventuellen Sicherheitsvorfällen vorbeugt.

Einbinden der Security entlang aller Dimensionen

Hat ein Unternehmen vor, seine DevOps-Organisation auf die Integration von Security hin zu erweitern, so kann unser 5-Pillar-Modell helfen, relevante Punkte zu identifizieren:

Organisation/Kultur: Die Security-Abteilung sieht sich als aktiven Teil der DevOps-Umgebung, arbeitet idealerweise direkt mit den jeweiligen Teams zusammen an dem gemeinsamen Produkt, berät und schult Mitarbeitende proaktiv zu relevanten Angriffsszenarien und schafft somit ein gemeinsames Verständnis und ein Bewusstsein für Security. Idealerweise werden die DevOps-Mitarbeitenden so für das Thema sensibilisiert und benötigen (externe) Security-Expertise nur noch für spezifische oder tiefergehende Fragestellungen. Die Sicherheit des Produkts wird als selbstverständlicher Teil des Produkts gesehen.

Lean/Agil: Security folgt agilen oder schlanken Prinzipien, ist frühzeitig bei der Planung von neuen Anforderungen z.B. durch „Attacker Stories“ eingebunden, fügt diese dem Product Backlog hinzu und beteiligt sich auch an den weiteren Schritten des Entwicklungszyklus und ist bei Reviews, Feedbacksessions oder Retrospektiven aktiv eingebunden. Durch die frühzeitige Einbindung werden eventuelle Handlungsfelder frühzeitig identifiziert und spätere Nacharbeiten vermieden.

Architektur: Das gesamte Entwicklerteam sorgt von Beginn an für eine widerstandsfähige (Microservice-)Architektur, bestehend aus gesicherten APIs, einer sicheren Datenverarbeitung und Vorkehrungen für eine sichere Kommunikation untereinander.

Automatisierung: Die Einführung von Sicherheitsprozessen, die Sicherheitsschwachstellen automatisch erkennen, entlastet die Mitarbeitenden, welche sich dadurch stärker auf andere Prioritäten konzentrieren können, und reduziert die Anzahl der menschlichen Fehler. Es sollte der Ansatz gelebt werden, dass jeder Prozess vor der Implementierung auf sein Automatisierungspotential überprüft wird.

Cloud: Bei der Einführung und Auswahl von passenden Cloud-Diensten werden Anforderungen an die Sicherheit des Produktes bedacht und passende Module & Einstellungen integriert. Die Nutzung von bereits standardmäßig angebotenen Security-Diensten der Cloud-Anbieter hat hierbei zudem den Vorteil, dass sich das DevSecOps-Team auf seine Kernaufgaben konzentrieren und trotzdem sicherheitsrelevante Aspekte nach Best Practices abdecken kann.

Unsere Erfahrung zeigt, dass Unternehmen, die eine frühzeitige Einbindung von Security schaffen, schnell und nachhaltig Effizienzgewinne generieren. Somit schaffen es Organisationen, sich auf die wirklichen Kundenbedürfnisse, statt auf interne Prozesse und verzögernde Nacharbeiten, zu fokussieren.

Capgemini Invent hilft Ihnen bei der Einführung von und Umstellung auf DevSecOps. Dies umfasst sowohl die strategische Konzeption als auch die operative Umsetzung. Zur Einschätzung Ihres aktuellen Reifegrades und möglicher Handlungsfelder, führen wir auf Nachfrage gerne zusammen mit Ihnen ein erstes Assessment durch, um darauf aufbauend erste Maßnahmen zu identifizieren. Bei Fragen rund um das Thema DevSecOps kontaktieren Sie mich gerne direkt.

Vielen Dank an die Co-Autoren Robin Lengsholz und Marcel Diehl für die Erstellung dieses Blogartikels.