sommai - Fotolia

So arbeiten DevOps und IT Security richtig zusammen

Kurze Entwicklungszeiten und schnelle Releases setzten die IT-Sicherheit unter Druck. Kooperieren DevOps und IT Security, steigert dies die Effizienz.

Die Zeiten, als die DevOps-Methode belächelt wurde, sind lange vorbei. Unter den 2.000 größten Unternehmen der Welt richtet mittlerweile jedes vierte seine Softwareentwicklung nach den Prinzipien von DevOps aus – Tendenz steigend. Sie versprechen sich davon kürzere Entwicklungszeiten, mehr Releases und höherwertige Software. Für die IT-Sicherheit ist diese Umstellung mit Herausforderungen, vor allem aber mit Chancen verbunden.

Wer den immensen Erfolg von DevOps verstehen möchte, sollte zunächst etwas Konfliktforschung betreiben. Die ewigen Kontrahenten: Softwareentwicklung und IT-Betrieb. Traditionell arbeiten diese Unternehmensbereiche getrennt voneinander. Sie sitzen in unterschiedlichen Büroräumen, essen in der Kantine an getrennten Tischen und kennen nicht die Terminkalender der jeweils anderen. Kooperieren müssen sie dennoch: Letztlich ist es Aufgabe des IT-Betriebs, dass die von den Entwicklern geschaffene Software den Endnutzer erreicht.

Zu Streit kommt es immer dort, wo die abweichenden Qualitätsmaßstäbe und Prioritäten der beiden Abteilungen aufeinanderprallen: Die IT-Verantwortlichen wurden vom Unternehmen beauftragt, die Verfügbarkeit der Anwendungen sicherzustellen – jeder Ausfall geht auf ihre Kappe. Sie legen deshalb Wert auf sichere und fehlerfrei lauffähige Releases. Entwickler hingegen sehen sich üblicherweise dem Druck ausgesetzt, neue Anwendungen und Features in möglichst kurzer Zeit verfügbar zu machen. Je schneller eine neue Funktion vom Endkunden eingesetzt werden kann, desto besser – Feinschliff und Fehlersuche kommen da mitunter zu kurz.

Die Softwareentwicklung ist also an schnellen und häufigen Releases interessiert. Der Betrieb hingegen nimmt neue Releases zwangsläufig als Risikofaktor wahr, die den störungsfreien Ablauf gefährden. Beide Seiten versuchen also, ihre Aufgaben bestmöglich zu erfüllen sowie innerhalb des Unternehmens gut dazustehen – und treten sich dabei gegenseitig auf die Füße. Konflikte, Anfeindungen und Schuldzuweisungen sind die Folge. Bei genauerem Hinsehen aber haben beide Abteilungen das gleiche Interesse: Es geht ihnen um funktionierende Abläufe, ein gesundes Arbeitsklima und den Geschäftserfolg ihres Unternehmens. Am Ende soll sichere und hochwertige Software entstehen – darauf arbeiten alle hin.

Kooperation und Automatisierung

Das erste Ziel von DevOps ist, die Zusammenarbeit von Entwicklung und IT-Betrieb auf eine neue Grundlage zu stellen. Die Kultur des Gegeneinanders soll eine Kultur des Miteinanders werden, das Arbeitsklima soll sich verbessern. Das Kofferwort DevOps selbst macht deutlich, worum es dabei geht: Entwickler und IT-Verantwortliche rücken näher zusammen, aus „Devs“ und „Ops“ werden die DevOps. In der Praxis bedeutet das regelmäßiger Austausch, gegenseitige Weiterbildung und vor allem die Verpflichtung beider Seiten auf gemeinsame Ziele und Werte.

Nur wenn die Erfolgsmaßstäbe angeglichen werden, kann eine fruchtbare Zusammenarbeit entstehen. Die Mehrheit der Befürworter von DevOps ist sich jedoch einig, dass es weder notwendig noch erstrebenswert ist, Entwicklung und Betrieb in einem einzelnen Geschäftsbereich zusammenzulegen. Stattdessen sollen interdisziplinäre Experten eine personelle Schnittstelle zwischen beiden Bereichen schaffen und feste Prozesse und Vorgehensweisen die Zusammenarbeit systematisieren und berechenbarer machen.

Die zweite Säule von DevOps ist die Automatisierung von Arbeitsabläufen. Geeignete Tools sollen Vorgänge, die zuvor manuell verrichtet wurden, in Zukunft eigenständig erledigen. Dies betrifft vor allem das Deployment von Software: Während die Entwicklung durch den Einsatz agiler Methoden wie Scrum oder Kanban immer mehr an Fahrt aufnimmt, bleibt der Betrieb häufig bei seiner alten Geschwindigkeit und entwickelt sich somit zum Flaschenhals. Die Automatisierung zielt darauf ab, auch in diesem Bereich für einen Effizienzsprung zu sorgen. Zusätzlich erfüllt sie die Forderungen des IT-Betriebs nach möglichst sicheren und stabilen Releases, indem sie die Fehlersuche und Qualitätskontrolle systematisiert.

Die neue Rolle der IT-Sicherheit

Wenn immer mehr Wert auf kurze Entwicklungszeiten und schnelle Releases gelegt wird, gerät auch die IT-Sicherheit unter Druck. Wo immer sie darauf pocht, Richtlinien einzuhalten und Sicherheitsmaßnahmen umzusetzen, kann sie dann dem Vorwurf begegnen, Entwicklungszeiten unnötig in die Länge zu ziehen. Findige CISOs sehen die Umstellung auf DevOps aber zumeist als Chance: Im Rahmen der neuen Kooperationsformen können sie erreichen, dass die IT-Sicherheit in alle relevanten Prozesse einbezogen wird. Außerdem ermöglicht die Einführung zusätzlicher Tools, dass IT-Sicherheit nicht mehr nur im Rahmen der Qualitätssicherung, sondern in allen Phasen des Software-Development-Life-Cycles (SDLC) eine Rolle spielen kann.

Dabei gilt: Je früher eine Sicherheitslücke beseitigt wird, desto geringer der finanzielle Aufwand. White-Box-Tests helfen bereits in einer sehr frühen Phase der Anwendungsentwicklung, Schwachstellen im Code zu identifizieren. Automatisiert überprüfen sie den Quelltext auf Fehler und Versäumnisse. Ebenfalls schon vor der produktiven Bereitstellung können Black-Box-Tests durchgeführt werden; Voraussetzung ist eine virtuelle Appliance für das lokale Scannen. Entsprechende Tools imitieren das Vorgehen von Cyberkriminellen, indem sie etwa Schadcode in Webformulare einspeisen.

„DevOps ist wesentlich mehr als nur ein Hype. Die Pioniere der neuen Methode haben aufgezeigt, wie sich der alte Streit zwischen Entwicklung und IT-Betrieb schlichten lässt.“

Julian Totzek-Hallhuber, Veracode

 

Auf diese Weise erkennen sie Schwachstellen wie SQL-Injections und Cross-Site-Scripting, finden aber auch Laufzeitprobleme, die bei der Offline-Untersuchung des Codes mit White-Box-Methoden nicht ohne Weiteres zu erkennen sind. Dazu gehören etwa Authentifizierungsprobleme, Probleme mit einer fehlerhaften Serverkonfiguration und Schwachstellen, die erst nach der Anmeldung als bekannter Benutzer sichtbar werden. Dritter möglicher Bestandteil der DevOps-Sicherheit ist Runtime-Application-Self-Protection (RASP). Diese Technologie wird direkt in die Runtime-Umgebung der zu schützenden Anwendung integriert, protokolliert Angriffsversuche und blockiert Attacken. So ist der gesamte SDLC abgedeckt.

DevOps: Gemeinsam stark

DevOps ist wesentlich mehr als nur ein Hype. Die Pioniere der neuen Methode haben aufgezeigt, wie sich der alte Streit zwischen Entwicklung und IT-Betrieb schlichten und die Zusammenarbeit zwischen den beiden Abteilungen auf eine neue kulturelle und organisatorische Grundlage stellen lässt.

Nur wenn sich die beiden Bereiche auf gemeinsame Abläufe, Qualitätsmaßstäbe und Ziele einigen, können sie ein gesundes Arbeitsklima aufrechterhalten und produktiv kooperieren. Wenn Unternehmen zusätzlich die technischen Möglichkeiten der Automatisierung ausreizen und entsprechende Tools in den SDLC integrieren, profitieren sie doppelt – von einer höheren Mitarbeiterzufriedenheit und von mehr Effizienz bei Softwareentwicklung und -Deployment.

Über den Autor:
Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von Web Application Security Consortium (wie zum Beispiel WAFEC) mitgewirkt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Das richtige DevOps-Konzept für mehr Sicherheit.

IT-Security: Die aktuellen Herausforderungen für Unternehmen.

Mit DevOps Projekte für Cloud-Anwendungen verbessern.

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche.

 

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close