Dipl.-Inform. Carsten Eilers

Die Einführung von DevOps kann die Sicherheit reduzieren, muss es aber nicht. Ganz im Gegenteil, wenn man die Vorteile von DevOps nutzt, lässt sich die Sicherheit sogar erhöhen. Dafür, das ausführlich zu beschreiben, fehlte im Artikel der Platz. Es wäre auch gar nicht so einfach, die möglichen Sicherheitsmaßnahmen und nötigen Anpassungen zu beschreiben, dafür sind die individuellen Umgebungen zu unterschiedlich.

Vereinfacht müssen Sie bei der Einführung von DevOps "nur" darauf achten, dass die hoffentlich schon vorhandenen Sicherheitsprozeduren auf DevOps übertragen werden. Und dass so wenig Sicherheitsbarrieren wie möglich auf der Strecke bleiben. Alle werden sich nicht aufrecht erhalten lassen, wenn Entwicklung und Betrieb zusammen wachsen sollen. Man sollte bei allen Änderungen nur immer auch alle dadurch entstehenden Risiken berücksichtigen.

Niemand würde eine Brandmauer zwischen zwei Brandabschnitten im Gebäude einreißen, nur weil an einer Stelle ein Durchgang benötigt wird. Eine Brandschutztür reicht dafür aus. Und das gleiche gilt im übertragenen Sinne für die Firewall und sonstigen Schutzmaßnahmen zwischen Entwicklungs- und Produktivsystemen. Denken Sie einfach immer daran, dass alles, was schief gehen kann, auch schief gehen wird. Dafür sorgt nicht nur Murphys Gesetz, sondern im Zweifelsfall auch ein Cyberkrimineller, der es auf Ihre Daten etc. abgesehen hat.

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer 4.2012
• [2] James DeLuccia IV, Jeff Gallimore, Gene Kim, Byron Miller: "DevOps Auditor Defense Toolkit"

Carsten Eilers