Skip to content

Drucksache: Entwickler Magazin Spezial Vol. 4 - Wie DevOps die Sicherheit erhöhen kann

Geschrieben von Carsten Eilers am um 09:40

Im Entwickler Magazin Spezial Vol. 4 - DevOps ist ein Artikel über Sicherheit von und mit DevOps erschienen.

In DevOps steht das "Dev" für "Development" und das "Ops" für "Operations" - also Entwicklung und Betrieb. Aber was ist mit der Sicherheit? Denkt denn keiner an die KinderSicherheit? Und das obwohl sie durch DevOps doch gefährdet sein kann? Und obwohl sie sich gerade mit DevOps verbessern lässt, wenn man das denn möchte?

Die Einführung von DevOps kann die Sicherheit reduzieren, muss es aber nicht. Ganz im Gegenteil, wenn man die Vorteile von DevOps nutzt, lässt sich die Sicherheit sogar erhöhen. Dafür, das ausführlich zu beschreiben, fehlte im Artikel leider der Platz. Es wäre auch gar nicht so einfach, die möglichen Sicherheitsmaßnahmen und nötigen Anpassungen allgemein zu beschreiben, dafür sind die individuellen Umgebungen einfach viel zu unterschiedlich.

Vereinfacht müssen Sie bei der Einführung von DevOps "nur" darauf achten, dass die hoffentlich schon vorhandenen Sicherheitsprozeduren auf DevOps übertragen werden. Und dass bei der Umstellung auf DevOps so wenige der vorhandenen Sicherheitsbarrieren wie möglich auf der Strecke bleiben. Alle werden sich nicht aufrecht erhalten lassen, wenn Entwicklung und Betrieb zusammen wachsen sollen. Man sollte bei allen Änderungen nur immer auch alle dadurch entstehenden Risiken berücksichtigen.

Niemand würde eine Brandmauer zwischen zwei Brandabschnitten im Gebäude einreißen, nur weil an einer Stelle ein Durchgang benötigt wird. Eine Brandschutztür reicht dafür aus. Und das gleiche gilt im übertragenen Sinne für die Firewall und sonstigen Schutzmaßnahmen zwischen Entwicklungs- und Produktivsystemen. Denken Sie einfach immer daran, dass alles, was schief gehen kann, auch schief gehen wird.

Dafür sorgt nicht nur Murphys Gesetz, sondern im Zweifelsfall auch ein Cyberkrimineller, der es auf Ihre Daten etc. abgesehen hat. Denn der nutzt jede sich ergebende Möglichkeit, um nach der Kompromittierung des Produktivsystems weiter in Ihr lokales Netz vorzudringen. Eine ungesicherte Verbindung zu den Entwicklungssystemen würde ein Angreifer sofort ausnutzen. Ebenso wie jede andere Schwachstelle, die er entdecken kann.

Und hier noch die Links und Literaturverweise aus dem Artikel:

  • [1] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer 4.2012
  • [2] James DeLuccia IV, Jeff Gallimore, Gene Kim, Byron Miller: "DevOps Auditor Defense Toolkit"

Carsten Eilers

Trackbacks

Keine Trackbacks