DevSecOps und Cloud Native: Mit Sicherheit auf Cloud-Geschmack

Nils Klute11. März 2021Blog-Artikel

Ein Entwickler sitzt an seinem Laptop und programmiert an einer Anwendung.
© alvarez | istockphoto.com

Cloud-native Applikationen agil entwickeln und automatisiert betreiben – was digitale Geschäftsmodelle ermöglichen soll, entpuppt sich in puncto Sicherheit oft als Risiko. Warum Entwickler, Betriebsprofis und Securityexperten in der Public Cloud Hand-in-Hand arbeiten müssen.

GitLab ist überzeugt: Im Jahr 2021 gelingt DevSecOps der Durchbruch. Denn verlagern und entwickeln immer mehr Unternehmen ihre Applikationen in die Public Cloud, werden zunehmend Developer für IT-Sicherheit verantwortlich. Egal, ob Konzern oder Mittelstand, wenn, wie eine aktuelle Umfrage von Crisp Research und Cloudflight zeigt, jede vierte DACH-Firma bis zum Jahr 2022 einen Cloud-Native-Anteil in der eigenen IT-Infrastruktur von 25 bis 50 Prozent plant, dann meint das nichts anderes, als das Anwender ihre Softwareprojekte auf ein DevSecOps-Fundament setzen müssen. Über DevSecOps lassen sich Anforderungen von Entwicklern, Betriebsprofis und Sicherheitsexperten gleichermaßen berücksichtigen.

DevSecOps: Sicherheit in cloud-nativen App-Lebenszyklus integrieren

Marc Schröter, CEO bei globaldatanet GmbH
Marc Schröter, CEO bei globaldatanet.

Cloud-native Apps agil entwickeln, schnell bereitstellen und sicher betreiben – damit das gelingt, braucht es DevSecOps und einen kulturellen Wandel. „Wer Anwendungen in der Public Cloud für die Public Cloud entwickelt, muss Sicherheit in den App-Lebenszyklus integrieren“, sagt Marc Schröter, CEO bei globaldatanet. „Wenn Firmen aber mit einem eher traditionellen Security-Verständnis auf die Public Cloud schauen, kann das zu Problemen führen“, sagt Mario Apitz, Founder & CEO bei Alice&Bob.Company. Beide Anbieter sind auf Security spezialisiert und engagieren sich als Gründungsmitglieder seit letztem Jahr in der Cloud-Native-Initiative von EuroCloud Deutschland, EuroCloud Native (ECN).

Mario Apitz, Founder & CEO bei Alice&Bob.Company GmbH
Mario Apitz, Founder & CEO bei Alice&Bob.Company.

Agil in kleinen Teams arbeiten, schnell entwickeln und auf Tempo setzen: „Viele Sicherheitslücken in der Cloud entstehen, weil sich Nutzer nicht richtig auskennen“, sagt Schröter. „Unternehmen betrachten Security zu oft als Appendix.“ Woran sich das festmachen lässt: Beispielsweise daran, wie sich die Teams zusammensetzen. „Auf 100 Developer kommen in der Regel 10 Betriebsexperten und 1 Securityspezialist“, sagt Apitz. In der Folge wird von Entwicklern immer mehr verlangt. Sie müssen nicht nur Kundenanforderungen in Features übersetzen, Anwendungen kostenoptimieren und neueste Cloudinnovationen bewerten, sondern nebenbei auch noch jederzeit sichere Software gewährleisten.

Entwickeln, betreiben, schützen: Mangelndes Know-how, unklare Zuständigkeiten

Wie schwer dieser Spagat gelingt, zeigt beispielsweise die Container-Technologie. Container sind DevOps-Tools, über die sich skalierbare Apps bereitstellen und verwalten lassen. „Für die Entwickler ist das sehr komfortabel, da sich Container massenweise binnen Sekunden provisionieren lassen“, sagt Schröter. „Aber sie sicher zu betreiben, erfordert Know-how, das in vielen Köpfen fehlt“, sagt Apitz. So leicht, wie sich Container nutzen lassen, so oft sind sie auch einfach unsicher konfiguriert. Mangelndes Know-how, das zudem auf unklare Zuständigkeiten treffen kann, wie eine weitere Umfrage von GitLab aus dem Mai 2020 zeigt: Nicht nur jeder vierte Developer (25 Prozent) fühlt sich für Security verantwortlich, sondern auch fast jeder vierte Tester (23 Prozent) und Betriebsprofi (21 Prozent).

Sicherheit als Qualitätsdimension und Standardfunktion

Einfach Mitglied werden, dreifach profitieren

„DevSecOps braucht eine andere Haltung“, sagt Apitz: „Unternehmen müssen Security als integralen Bestandteil ihrer Cloud-Strategie sehen. Sicherheit muss in Softwarecode gegossen und von Anfang an als Qualitätsdimension verstanden werden.“ Schröter: „Die Hyperscaler liefern innovative Features im Wochentakt. Wer cloud-native Anwendungen entwickelt, muss auch diese Dynamik berücksichtigen.“ Beispiel Amazon Web Services: Im Durchschnitt zielt jeder vierte Service, den der Hyperscaler veröffentlicht, auf Security ab. Haben Unternehmen ihren IT-Betrieb bis dato eher klassisch organisiert, stoßen sie mit dieser Denkweise rasch an Grenzen.

„Wer früher ein Rechenzentrum aufgebaut hat, der hat mehrere Firewalls unterschiedlicher Hersteller hintereinander gesetzt, und das als Security verstanden“, sagt Apitz. „Über die Public Cloud lassen sich Sicherheitsfunktionen aber cloud-native realisieren“, sagt Schröter. Neue Konzepte sind gefragt, wie auch ISG-Experte Heiko Henkes im Whitepaper Cloud Native als Imperativ für den digitalen Wandel herausstellt, das das Beratungshaus gemeinsam mit dem ECN-Alliance-Partner claranet herausgegeben hat: „Unternehmen und Anbieter stellen fest, dass die Implementierung von Sicherheit nicht erst im Nachhinein bedacht werden kann.“ DevSecOps ersetzt DevOps und implementiert Sicherheitsprinzipien als Standardfunktion.

IT-Tickets Risiko- statt Feature-orientiert bewerten

Wie die Erfolgsrezepte aussehen können? „Beispielsweise müssen Unternehmen einzelne Entwickler zu Cloud-Security-Experten fortbilden“, sagt Apitz. „Dann bewerten diese Mitarbeiter IT-Tickets nicht mehr länger nur Feature- sondern auch Risiko-orientiert.“ Dass es hilft, den Blickwinkel auf die eigene Arbeit zu verändern und neue Rollen und Funktionen zu etablieren, empfiehlt auch das Whitepaper von ISG und claranet. Demnach gehe DevSecOps weit darüber hinaus, IT und Business miteinander zu verzahnen, sondern erfordere stattdessen eine intensivere Zusammenarbeit mit neuen Rollen. Was sich darüber hinaus empfiehlt? Schröter: „Wer Sicherheit in die App-Entwicklung integrieren möchte, ergänzt seine neue Denk- und Arbeitsweise durch passende Tools.“ Egal, ob Firewalls, Verschlüsselungen, Security- oder Policy Groups – automatisiert lassen sich Sicherheitsfunktionen überwachen und Fehlkonfigurationen verhindern. Vorteil für Entwickler: Die Tools erleichtern ihnen die Arbeit.

Security-by-Design-Konzepte von der Stange weg umsetzen

Cyberangriffe mit künstlicher Intelligenz abwehren, korrumpierte virtuelle Maschinen automatisch erkennen und ausschalten, Identitäten über Softwarecode ausdrücken, API-Zugriffe revisionssicher überwachen und Zero-Trust-Architekturen aufbauen, in denen sich Microservices über Zertifikate authentifizieren: „Der Standardumfang der Public Cloud bietet alle Funktionen und Dienste, um Security-by-Design-Konzepte von der Stange weg umzusetzen“, sagt Dr. Nils Kaufmann, der EuroCloud Native leitet. „So erreichen Anwender ein hohes Sicherheitsniveau zu überschaubaren Kosten.“ Damit immer mehr Unternehmen die Vorteile kennenlernen, möchte die ECN Know-how vermitteln. Kaufmann: „An einem Thema wie DevSecOps führt dabei kein Weg vorbei.“

Mittelstand setzt auf externe Unterstützung

Wenn Unternehmen Cloud-Native-Applikationen in der Public Cloud für die Public Cloud entwickeln wollen, ist gerade im Mittelstand die Bereitschaft groß, sich auch von Cloud-Native-Anbietern helfen zu lassen. „Der Mittelstand ist auf sein Kerngeschäft fokussiert und greift gern und oft auf externe Experten zurück“, sagt Apitz. Was darüber hinaus klar ist: „Ist der Mittelstand einmal in der Public Cloud angekommen und hat die Cloud-Native-Vorteile kennengelernt, dann gibt es meistens kein zurück“, sagt Schröter. „Wer einmal drin ist, der kommt mit Sicherheit auf den Public-Cloud-Geschmack.“

Share on
Über Nils Klute
Nils Klute ist IT-Fachredakteur. Egal, ob für IT-Medien wie heise.de, zdnet.de und silicon.de, für IT-Unternehmen wie SAP, T-Systems und Sony oder für B2B-Agenturen wie Palmer Hargreaves, Pleon Kohtes Klewes (heute Ketchum) und rheinfaktor – Nils Klute schreibt und spricht seit mehr als 15 Jahren über die Themen, die die IT- und Digitalwirtschaft bewegen. Von der Datenwirtschaft mit Gaia-X über Künstliche Intelligenz im Mittelstand bis hin zu Cloud-Native-Technologien - als Projektmanager Kommunikation Cloud Services ist er bei EuroCloud Deutschland_eco e.V. für das Content Marketing rund um die Themen des Verbands verantwortlich. Zudem unterstützt er KI-Projekte wie Service-Meister und Initiativen wie EuroCloud Native, Channel2Cloud oder EuroCloud Next Leaders mit Blogbeiträgen, Namensartikeln, Interviews, Pressemitteilungen, Konzepten und Strategien. Beruflich wie privat ist er auf LinkedIn und Twitter unterwegs.