Die Integration von Software-Entwicklung und -Bereitstellung (DevOps) erfreut sich zunehmender Beliebtheit. Allerdings geht die dadurch gewonnene Schnelligkeit und Flexibilität häufig auf Kosten der IT-Sicherheit. Wie Sie es mit DevSecOps und dem Einsatz von Microgateways besser machen, zeigen diese Best Practices.
Inhalt:
Traditionell waren Software-Entwicklung und -Bereitstellung klar getrennte Funktions- und Verantwortungsbereiche. In der heutigen, von Cloud Computing und Agilität geprägten IT-Welt ist diese Trennung jedoch nicht mehr sinnvoll. Die funktionsübergreifende Zusammenarbeit nach dem DevOps-Prinzip wird daher immer beliebter. Sie ermöglicht es, Applikationen wesentlich schneller und flexibler an den Markt zu bringen und die Release-Zyklen drastisch zu beschleunigen.
Bei allen Vorteilen dieses Konzepts gibt es jedoch auch Herausforderungen. Im klassischen Wasserfallmodell waren vor dem Release ausgiebige Sicherheitstests üblich. In einem kontinuierlichen Entwicklungs- und Bereitstellungsmodell müssen diese dagegen in die Entwicklungs-Pipeline integriert werden. Geschieht dies nicht, können gravierende Sicherheitslücken die Folge sein, Das DevOps-Modell muss daher um den Security-Aspekt zu DevSecOps erweitert werden.
Dieses Best Practices zeigen Ihnen, wie Sie mithilfe von Microgateways DevSecOps realisieren und so trotz beschleunigter Entwicklungs- und Bereitstellungsprozesse für IT-Sicherheit sorgen. Erfahren Sie unter anderem:
- Wie Sie Software gegen externe und interne Gefahren absichern.
- Welche Rolle Zero Trust im DevSecOps-Konzept spielt.
- Wie Sie mit Microgateways die Konformität und Sicherheit von Code automatisiert sicherstellen können.
Originalauszug aus dem Dokument:
Der Bedarf an Geschwindigkeit und Unternehmensflexibilität hat dazu geführt, dass Softwareentwicklungsteams Grössen erreicht haben, die nicht mehr effektiv an einem grossen monolithischen Softwareprojekt arbeiten können. Das hat die Nutzung von Microservice-Architekturen mit standardisierten Interfaces (API) für jeden Microservice vorangetrieben. Als Ergebnis sind sowohl Software- als auch Entwicklungsteams in Einheiten mit einer effizienteren Grösse aufgeteilt. Solange die Schnittstellen rückwärts- kompatibel bleiben, kann jedes Team seine Dienste unabhängig von anderen Teams entwickeln und deployen. Mit geringerem Zeitaufwand für die Koordination der Deployments haben die Teams die Kapazität, den Code öfter zu aktualisieren, so dass kleinere Änderungen ausgerollt werden, sobald sie verfügbar sind. Das führt zu weniger Codeänderungen bei jedem einzelnem Deployment, geringerem Fehlerrisiko und schnellerem Rollback sowie höherer Gesamtstabilität.
In der Folge werden massiv mehr Services entwickelt und ausgerollt, was es immer schwieriger macht, mit der Prüfung und Genehmigung jeder Änderung Schritt zu halten, insbesondere mit einer einzelnen zentralen Security-Funktion. Das wird in der DevSecOps-Kultur durch einen „Shift Left“ gelöst, was eine Verlagerung der Sicherheitsverantwortung zum Entwicklungsteam bedeutet. Das Entwicklungsteam wird asynchron unterstützt, um Sicherheitsherausforderungen zu bewältigen, bevor Dritte sie im produktiven Betrieb finden.