Die große Bedeutung von IT-Security im Zeitalter der Digitalisierung liegt auf der Hand: allein 2017 entstanden durch Cybercrime 60 Mio. Euro Schaden. Trotzdem haben Unternehmen die Sorge, dass Sicherheitsprozesse ihre Abläufe ausbremsen, wo doch gerade Schnelligkeit und Agilität wichtige Forderungen an eine zukunftsfähige IT sind.
Die Power des sogenannten DevOps hat gerade in den Unternehmen Einzug gehalten. Dabei handelt es sich um eine leistungsfähige und flexible Verbindung von Development und Operations. Die Methode ermöglicht, dass Ideen, Konzepte und Innovationen aus den Fachabteilungen in Funktionalität und Services übersetzt werden. Der zentrale Ankerpunkt sind dabei Automatisierungstechnologien, komplexe IT- oder Cloud-Architekturen, usw.
Wie kann die Sicherheit mit der geforderten Schnelligkeit mithalten? In der Vergangenheit standen Security-Prozesse mit vereinzelten Tests erst ganz am Ende der Entwicklung, doch das funktioniert heute nicht mehr. Die Security würde DevOps in den Entwicklungszyklen zu stark entschleunigen. Daher wird DevSecOps integriert um die Geschwindigkeit beizubehalten und die Entwicklung im Schritt der Zeit aufrecht zu erhalten.
Inhalt
- Einführung von DevOps: Haben Sie dir IT-Sicherheit im Blick?
- Verlässliche IT-Sicherheit: DevOps wird zu DevSecOps
- Was bedeutet DevSecOps und welche Security-Aspekte können damit gewährleistet werden?
- DevSecOps – Security als festes Element der Pipeline
Einführung von DevOps: Haben Sie die IT-Sicherheit im Blick?
Viele Unternehmen haben die Cyber Security bei der Einführung von DevOps nur unzureichend auf dem Schirm. Nehmen wir beispielsweise eine Krankenversicherung, die DevOps einführte, um die verschiedenen Funktionen ihrer Kunden-Website zu optimieren. Dazu zählten die Herausgabe von Angeboten für beispielsweise Bonusprogramme und Mitgliedschaften, die Steuerung von Anfragen für Zuzahlungen, Krankmeldungen oder Abrechnungen und die Bereitstellung von Informationen.
Die Versicherung stellte ein crossfunktionales Team aus acht verschiedenen Parteien zusammen, bestehend aus u.a. Entwicklung, Vertrieb, Redaktion und Datenschutz. Die Parteien arbeiteten gemeinsam als DevOps Team. Dabei wurden Deployments automatisiert und vereinheitlicht, was bedeutet, dass Software auf PCs und Servern in automatisierten Prozessen installiert und konfiguriert werden konnte.
Auch Bereiche der Infrastruktur konnten optimiert werden und die Erfolge wurden sichtbar: So konnten durch die Anbindung der Website an die Warenwirtschaft Leistungen zeitnah aktualisiert werden. Leistungen der Krankenkasse sind beispielsweise die Kostenübernahme für Reiseimpfungen, Vorsorgeuntersuchungen oder osteopathische Behandlungen.
Doch wie sieht es mit der IT-Sicherheit aus? Gerade für eine Krankenversicherung muss sie einen hohen Stellenwert haben, weil sie aufgrund der Arbeit an sensiblen Daten eine extrem große Verantwortung gegenüber ihren Kunden trägt. Nicht auszudenken, man könnte beispielsweise online Ihre medizinischen Befunde einsehen! Das Beispiel ist nicht aus der Luft gegriffen: Erinnern Sie sich an die Krankenkassen-App Vivy, die im letzten Jahr in der Kritik stand? Sie wies kritische Sicherheitslücken auf, die Angreifern ermöglicht hätten, Patientendaten auszulesen…
Verlässliche IT-Sicherheit: DevOps wird zu DevSecOps
Die Einführung der DevOps in der Versicherung war ein zukunftsweisender Schritt, der aber neue Anforderungen an die Sicherheitskultur mit sich zog. Eine agile Entwicklung verlangt eine ebenso agile IT-Security, die z. B. den unbefugten Zugriff auf Server und das Auslesen sensibler Daten verhindern können.
Wie war es bisher?
Die IT-Beauftragten der Krankenversicherung kümmerten sich vorwiegend um die Infrastruktur und führten hin und wieder Penetrationstests durch, doch das reichte nun nicht mehr aus. Da dank DevOps wöchentlich Deployments durchgeführt wurden und auch Sicherheitslücken auf Black Box Basis aufgezeigt wurden, befand man sich ja in einem sicheren Umfeld.
Die Versicherung erkannte, dass ein neuer Sicherheitsprozess notwendig ist, als festgestellt wurde das reine Penetrationstests nicht ausreichend sind. Setzte man auf eine in DevOps integrierte Version, die bereits vor dem Deployment Sicherheitslücken löst: DevSecOps wurde eingeführt.
Was bedeutet DevSecOps und welche Security-Aspekte können damit gewährleistet werden?
• Automatisierte Source-Code Analysen innerhalb der CI/CD-Toolchain
• Schwachstellenmanagement mit Reporting für Zertifizierungen
• Zugriffssteuerung, beispielsweise über Multifaktor-Authentifizierungsmechanismen
• Regelmäßiger Erfahrungsaustausch in den Teams
• Sichere Zugriffsverwaltung
• Security Policies wie allgemeine Sicherheitsstandards
• Firewalls für Container-Landschaften oder Web Applikationen
• Entsprechende Verschlüsselungen zur sicheren Übertragung und Ablage
Die detaillierten Vorgaben im Bereich der Security-Prozesse legen Unternehmen abhängig von den eingesetzten Tools, Systemen und Arbeitsweisen individuell fest.
Development & Testszenarien: Bremst DevSecOps die Abläufe aus?
Bleiben wir beim Beispiel der Krankenversicherung. Ihre Wettbewerbsfähigkeit ist das A und O, weshalb sie sich für den Einsatz von DevOps entschieden hatte. Die Versicherung wollte langatmige Releasezyklen ad acta legen und stattdessen mit Schnelligkeit punkten. Im Hinblick auf die notwendigen Schritte zur Gewährleistung der Security hat sie die Befürchtung, dass die Prozesse wieder umständlich und zeitintensiv werden könnten.
So ist es jedoch nicht. DevSecOps bringt den beträchtlichen Vorteil, dass IT-Security direkt in DevOps integriert wird und auf diese Weise die Stärken von DevOps wie z.B. die Schnelligkeit erhalten bleiben. Das funktioniert auch deshalb so gut, weil viele Security-Prozesse automatisiert ablaufen können.
Automatisierungsmöglichkeiten im Managed Security-Prozess
Der große Vorteil von DevSecOps liegt in den Automatisierungsmöglichkeiten der IT-Sicherheit.
Hier einige Beispiele:
• Frühzeitiges Erkennen der Sicherheitslücken vor dem Deployment
• Umsetzung der notwendigen Verschlüsselung auf allen Ebenen
• Automatisiertes Einbinden der Entwickler zur Absicherung, bereits im Development
• Automatisierte Überprüfung gesamter Systeme auf Sicherheitslücken um Schwachstellenmanagement zu gewährleisten
Im Beispiel der Krankenversicherung arbeiten die DevSecOps also einen kompletten Securityprozess in die IT-Landschaft ein.
Dieser Prozess verläuft in drei Schritten:
- Static Security Analysis: Diese Analyse erfolgt ganz am Anfang. Hier bei überprüft eine statische Sicherheitsanalyse den Source Code auf Schwachstellen hin.
- Dynamic Security Analysis: Die dynamischen Analysen werden immer dann durchgeführt, wenn z.B. eine App deployed wurde. Das Testing erfolgt in der Laufzeitumgebung und prüft die Sicherheit des neuen Deployments.
- Vulnerability Management: Hierbei wird geprüft, welche Schwachstellen wie am besten gemanagt werden können, welche Risiken damit verbunden sind und welche Lösungen etabliert werden müssen.
Monitoring & Penetrations-Testing: So funktionieren DevSecOps
Für die Krankenversicherung brachte die Arbeit mit DevSecOps eine erhöhte Stabilität und Sicherheit, die durch regelmäßiges Monitoring und Penetrations-Testings erzielt werden konnte. Die Patchzyklen erhöhten sich von 4 auf 12 pro Jahr.
Dreh- und Angelpunkt der Security ist eine Plattform, auf der die Security-Source-Code-Analyse-Werkzeuge und Penetrationstest-Werkzeuge abgelegt sind. Der Source-Code kann auf die Plattform eingebracht werden und wird in den Prozess zum Sicherheits-Test angestoßen.
Die Plattform sieht zum Beispiel so aus:
Hier kann die komplette Toolkette überprüft werden und die Krankenversicherung erfährt auf einen Blick, wie die Tests gelaufen sind und wie lange sie gedauert haben.
Sogar der direkte Blick in das Security-Source-Code-Testing-Tool ist möglich:
An dieser Stelle befindet man sich direkt im Source Code, wo alle Schwachstellen sichtbar gemacht werden und geschlossen werden können. Sogenannte „false positives“ können übrigens herausgefiltert werden, damit nur die tatsächlichen Sicherheitslücken übersichtlich aufgeführt werden.
DevSecOps – Security als festes Element der Pipeline
Sie sehen: DevSecOps ist die notwendige Weiterentwicklung von DevOps, weil sie deren Stärken um einen agilen Sicherheitsaspekt ergänzen. Statt kurz vor einem Release die IT-Sicherheit zu prüfen, ist die Security dank des DevSecOps vollständig in die Prozesse integriert. Gehen auch sie auf Nummer sicher! So wird die Security aus einer Hand mit Sicherheit ein automatisierter Bestandteil der täglichen Arbeit.
Weitere Themen der >Online Academy finden Sie auch auf >YouTube.
Jetzt reinschauen & abonnieren!
Ist digitales Geschäft eigentlich zuverlässig, sicher, vertrauensvoll, ausfallsicher? Wie und warum – darüber schreibe ich in diesem Blog.