Grundlegendes zu DevSecOps

  • 1 Minute

Während die Einführung von Cloud Computing zur Unterstützung der Unternehmensproduktivität zunimmt, kann eine fehlende Sicherheitsinfrastruktur Daten unbeabsichtigt gefährden.

Aus dem Microsoft Security Intelligence Report 2018 geht Folgendes hervor:

  • Keine Verschlüsselung der Daten sowohl im Ruhezustand als auch bei der Übertragung:
    • 7 % der SaaS-Speicher-Apps (Software-as-a-Service)
    • 86 % der SaaS-Apps für die Zusammenarbeit
  • Unterstützung für den HTTP-Headersitzungsschutz durch lediglich:
    • 4 % der SaaS-Speicher-Apps
    • 3 % der SaaS-Apps für die Zusammenarbeit

Secure DevOps (oder DevSecOps)

Bei DevOps geht es darum, schneller zu arbeiten. Bei der Sicherheit steht die Gründlichkeit im Vordergrund. Sicherheitsaspekte werden in der Regel am Ende des Zyklus bearbeitet. Dadurch kann es zu außerplanmäßiger Arbeit am Ende der Pipeline kommen. Secure DevOps vereint DevOps und Sicherheit in verschiedenen Praktiken, mit denen die Ziele von DevOps und Sicherheit effizient erreicht werden können.

Diagram showing Venn Diagram with one DevOps circle and one Security circle overlapping. The overlap is labeled Secure DevOps.

Eine Secure DevOps-Pipeline ermöglicht es Entwicklungsteams, schnell zu arbeiten, ohne ihr Projekt durch die Einführung unerwünschter Sicherheitsrisiken zu gefährden.

Hinweis

Secure DevOps wird mitunter auch als DevSecOps bezeichnet. Ihnen werden möglicherweise beide Bezeichnungen begegnen, aber beide Begriffe beziehen sich auf dasselbe Konzept.

Sicherheit im Kontext von Secure DevOps

Bislang wurden Sicherheitsmaßnahmen typischerweise in einem langsameren Zyklus durchgeführt und umfassten traditionelle Sicherheitsmethoden, wie z. B:

  • Zugriffssteuerung
  • Härten der Umgebung
  • Schutz des Umkreisnetzwerks

Secure DevOps beinhaltet diese traditionellen Sicherheitsmethoden und vieles mehr. Bei Secure DevOps steht die Sicherheit der Pipeline im Vordergrund.

Bei Secure DevOps geht es darum zu bestimmen, an welchen Stellen die in Ihre Build- und Releasepipelines eingebundenen Elemente zusätzlich geschützt werden müssen.

Secure DevOps zeigt Ihnen, wie und wo Sie Ihre Automatisierungsverfahren, Produktionsumgebungen und andere Pipelineelemente schützen und gleichzeitig von der Geschwindigkeit von DevOps profitieren können.

Mit Secure DevOps werden weitergehende Fragen beantwortet, darunter zum Beispiel:

  • Nutzt meine Pipeline Komponenten von Drittanbietern, und sind diese sicher?
  • Gibt es bekannte Sicherheitslücken in der von uns verwendeten Drittanbietersoftware?
  • Wie schnell kann ich Sicherheitsrisiken erkennen (auch bezeichnet als Zeit bis zur Erkennung)?
  • Wie schnell kann ich identifizierte Sicherheitsrisiken behandeln (auch bezeichnet als Zeit bis zur Behebung)?

Die Sicherheitsverfahren zur Erkennung potenzieller Sicherheitsanomalien müssen ebenso robust und schnell sein wie die weiteren Bestandteile Ihrer DevOps-Pipeline. Dazu gehören auch die Automatisierung der Infrastruktur und die Codeentwicklung.