deepagopi2011 - Fotolia

Das richtige DevOps-Konzept für mehr Sicherheit

DevOps-Ansätze übersehen häufig Sicherheitskonzepte. Mit der richtigen Strategie entlasten Unternehmen Angestellte ohne Risiken für die Sicherheit.

Der Fachkräftemangel in der IT betrifft den Sicherheitsbereich in besonderem Maße. In der „Global Information Security Workforce Study“ (GISWS) gaben 62 Prozent aller Befragten an, dass ihre Organisation zu wenig IT-Sicherheitsexperten beschäftigt, obwohl das Budget für mehr Mitarbeiter vorhanden wäre. Insgesamt befragte Frost & Sullivan weltweit 13.000 IT-Experten für Informationssicherheit und schätzt, dass bei steigender Bedrohungslage in fünf Jahren weltweit 1,5 Millionen IT-Sicherheitsfachkräfte fehlen.

Natürlich braucht es eine langfristige Veränderung in Ausbildung und Rekrutierung von Fachkräften in der Branche. Kurz- und mittelfristig müssen aber Unternehmen mit dem vorhandenen Personal haushalten. Daher ist DevOps ein wichtiger Begriff in der IT-Sicherheitsbranche geworden. Bereits 60 Prozent aller Organisationen arbeiten mit entsprechenden Konzepten. Allerdings werden dabei häufig Sicherheitsbedenken zu Lasten der Umsetzungsgeschwindigkeit vergessen.

Vorteile von DevOps

Der Schulterschluss von Softwareentwicklung und IT-Betrieb gilt im Security-Bereich als schwierig. Man sollte sich aber ein Beispiel an der Formel 1 nehmen. Dort arbeiten Ingenieure an Sicherheitskonzepten, um den Fahrer schneller fahren zu lassen. Mit dem richtigen DevOps-Konzept schafft die richtige Sicherheit die Grundlage für mehr Geschwindigkeit. Dadurch kann zusätzlich der Druck auf die Angestellten verringert werden.

DevOps bringt grundsätzlich drei Vorteile:

  • Schnellere Reaktionszeiten, höhere Kundenzufriedenheit und bessere betriebliche Effizienz. Studien zeigen, dass sich die Zeit bis zur Marktreife um 20 Prozent verkürzt.
  • Unternehmen müssen die Sicherheit nicht einer beschleunigten Bereitstellung von DevOps opfern.
  • Automatisierung, Sichtbarkeit und Integration der Schlüssel- und Zertifikatbereitstellung sorgen für DevOps in Geschäftsgeschwindigkeit.

„Mit der Einführung von Kontrollen und Automatisierung für Schlüssel und Zertifikate können Organisationen sich schützen und ihre DevOps gleichzeitig auf Geschäftsgeschwindigkeit halten.“

Kevin Bocek, Venafi

Leider übersehen DevOps-Ansätze häufig Sicherheitskonzepte, wie starke Verschlüsselung und Authentifizierung. Warum? Sie gelten als zu langsam und aufwendig. Zertifikate und Schlüssel gelten als Flaschenhälse im Bereich DevOps. Sicherheitsteams messen Service Level Agreements (SLA) in Wochen, Experten im Bereich DevOps erwarten diese aber binnen Minuten und Sekunden. Daher behelfen sie sich mit Workrarounds, stellen eigensignierte Zertifikate für sich selbst aus oder kopieren Schlüssel mehrfach. Die zunehmende Arbeitsbelastung führt zu Sicherheitsmängeln, da wichtige Sicherheitsgrundlagen nicht mehr beachtet werden.

Die richtige DevOps-Strategie

Die mangelnde Transparenz bei den eingebauten Schlüsseln und Zertifikaten ist ein großes Problem, da Sicherheitsbeauftragte nicht wissen, welche Software vertrauenswürdig ist. 80 Prozent aller CIOs geben an, dass DevOps die Unterscheidung zwischen gut und bösartig schwieriger macht.

Dabei ist die fehlende Sichtbarkeit oder Kontrolle von Schlüsseln und Zertifikaten ein Problem, dass mit der richtigen DevOps-Strategie gelöst werden kann. Dabei sind drei Punkte zu beachten:

  • Automatisierung von Sicherheit beim Umgang mit Fast-IT
    Schnellere Reaktionszeiten bei Marktveränderungen können zwar zu einer Steigerung des Reingewinns beitragen, aber 25 Prozent der App-Kosten versickern für die manuelle Beschaffung von Schlüsseln und Zertifikaten. Dadurch wird auch wertvolle Zeit vergeudet, was sich direkt auf die Projektabwicklungspläne auswirkt. Automatisierungsverfahren zur Erstellung und Verteilung von Keys und Zertifikaten über den Build-Prozess optimieren die Arbeit von DevOps-Teams. Dadurch kann die IT-Sicherheit an die Fast-IT-Praktiken angepasst und die Anzahl der durch manuelle Verfahren potentiell eingeschleusten Schwachstellen gleichzeitig verringert werden.
  • Schlüssel und Zertifikate monitoren und managen
    Kundenzufriedenheit ist ein kontinuierliches Bestreben; der Ausfall eines Dienstes kann die Bewertung von Kundenzufriedenheit abstürzen lassen. Werden die Ablaufdaten der Zertifikate, die für HTTPS-Dienste genutzt werden, nicht verfolgt, kann das zu durchschnittlichen Ausfallkosten von bis zu 1 Million Euro pro Stunde führen.
    DevOps-Teams sind in der Regel keine PKI-Experten. In den meisten Fällen beschaffen und installieren jedoch DevOps-Teams Zertifikate selbst, und IT-Sicherheitsteams können sie nicht verfolgen, weil sie nichts über sie wissen. Organisationen sollten feststellen können, wo alle Anwendungszertifikate eingesetzt werden. Diese müssen dann von IT-Sicherheitsverantwortlichen verwaltet werden. Dann können sie auf die Zertifikate Richtlinien anwenden und Ablaufdaten nachverfolgen, um Dienstausfälle zu vermeiden und das Kundenvertrauen zu erhalten.
  • Integration von Schlüsseln und Zertifikaten in DevOps-Builds
    Die Verbesserung der betrieblichen Effizienz ist ein Hauptmotiv für DevOps. Bei alten IT-Modellen kann man akzeptieren, 4,5 Stunden in die manuelle Bereitstellung der einzelnen Zertifikate investieren zu müssen. Für New-IT- und DevOps-Teams dauert es jedoch einfach zu lange, eine Oberfläche zur Beschaffung und Installation von Schlüsseln und Zertifikaten zu nutzen. Sie müssen in der Lage sein, die Bereitstellung von Schlüsseln und Zertifikaten als Teil des automatisierten Build-Prozesses zu integrieren, um innerhalb von Sekunden Tausende von Zertifikaten zu liefern – weniger ist nicht genug.

DevOps-Teams nutzen in der Regel Programmierschnittstellen (APIs). Dies sollte bei der Bereitstellung von Schlüsseln und Zertifikaten bedacht werden, damit dieser Prozess vollständig automatisiert werden kann. APIs sind wichtige Elemente in der Sicherheitsarchitektur. Sicherheitsexperten müssen in der Lage sein, Schlüssel und Zertifikate automatisch durch APIs bereitzustellen.

Fazit

DevOps ist ein wichtiges Thema, um den Vorteil schnellerer Projektabschlusszeiten ohne Beeinträchtigung der Sicherheit nutzen. Mit der Einführung von Kontrollen und Automatisierung für Schlüssel und Zertifikate können Organisationen sich schützen und ihre DevOps gleichzeitig auf Geschäftsgeschwindigkeit halten.

Behörden und staatliche Einrichtungen bemühen sich um entsprechende Projekte, um dem Fachkräftemangel entgegenzuwirken. Auch Unternehmen wissen um die Problematik und entwickeln Strategien. Mit DevOps können Angestellte gezielt entlastet werden, ohne Risiken für die Sicherheit zuzulassen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close