Sicherheit und Geschwindigkeit
mit DevSecOps

Security in Zeiten agiler Prozesse

Wie Security und Agilität gemeinsam funktionieren

DevSecOps

Viele Jahre lang wurde sich mit DevOps um die Zusammenarbeit zwischen Entwicklern und dem IT-Betrieb gekümmert, dabei wurde oft eine zentrale Komponente außer acht gelassen: Security. Mit der Integration von „Sec“ in die DevOps Kultur wird nun Security von Tag Eins an in jedem Projekt integriert, damit zu einem festen Bestandteil und somit auch zu einem festen Ansprechpartner für Entwicklung und Betrieb – ohne die Agilität in den Arbeitsweisen zu beeinflussen.

Red Hat SSO

Herausforderungen

Wenn die Security-Abteilung sich meldet, kann es unangenehm werden. Denn plötzlich kommen Anforderungen auf, die in einem agilen Arbeitsumfeld die Produktivität massiv begrenzen können. Auch Investitionen in neue Systeme oder Features sind plötzlich in Gefahr, da eine verwendete Library den Test nicht besteht und ein Betrieb in der Produktion verweigert wird. Unzufriedenheit und Ärger machen sich breit. 

Noch dazu müssen plötzlich bei einer auftretenden Schwachstelle Anwendungen analysiert werden und es muss geprüft werden, welche Systeme betroffen sein könnten und wo Änderungen schnell umgesetzt werden müssen. Nicht nur sind diese Maßnahmen zeitkritisch, zudem sind sie häufig umkoordiniert und somit noch zeitintensiver. 

DevSecOps löst genau diese Herausforderungen durch Technologie, Prozesse und Kultur. 

Mehrwerte von DevSecOps

Gerne unterstützen wir bei der Analyse sowie bei der Umsetzung jeder der folgenden Maßnahmen:

Klarheit

Von Beginn eines Projektes an sind die Spielregeln klar. Es ist definiert welche Anforderungen aus Security-Sicht umgesetzt werden müssen und welche Libraries verwendet werden können.

Überblick

Im Falle einer Security-Lücke ist sofort klar, welche Systeme betroffen sind; ein weiteres Ausrollen einer Version mit z.B. einer anfälligen Library wird verhindert.

Auditierbarkeit

Zu jedem Zeitpunkt ist klar, welche Regeln (Policies) gelten und welche Änderungen vorgenommen werden. Dies bietet eine perfekte Grundlage für Audits, z.B. nach ISO27001 oder dem BSI.

IT-Projekte

Typische Anwendungsbeispiele

  • Automatisierte Überwachung: Compliance & Security Richtlinien können automatisiert überwacht werden.
  • Auditierung von Ereignissen: Reporting sicherheitsrelevanter Ereignisse.
  • Überwachung von Sicherheitslücken: Sicherheitslücken können zu Bild und Laufzeit überwacht werden.
  • Audits: Einfache Einhaltung von Standardvorgaben für Zertifizierungen (ISO & BSI).

Sicherheit und Agilität vereinen

Organisationen, die containerbasierte IT-Systeme einsetzen, stehen oft vor dem Dilemma, dass die Schnelligkeit ihrer Projekte im Widerspruch zu den erforderlichen Sicherheitsstandards steht.

Wir unterstützen Sie bei der Balance zwischen schnellen Entwicklungs- und Freigabeprozessen, die im Wettbewerb notwendig sind, und den Sicherheitsmaßnahmen, die für einen regulären Betrieb erforderlich sind.

Indem wir dokumentierbare und durchsetzbare Richtlinien für Bereiche schaffen, in denen Konflikte zwischen Entwicklung und Sicherheit auftreten, können wir diese scheinbar gegensätzlichen Prozesse vereinen, so dass:

  • Entwickler Zugang zu kontextbezogenen Richtlinien erhalten, die in bestehende Arbeitsabläufe integriert sind, sowie Tools, die ihre Produktivität steigern.
  • Der Aufwand für die Implementierung von Sicherheitsmaßnahmen reduziert wird und Sicherheitsanalysen, Überprüfungen und Lösungen optimiert werden.
Viada individuelle und innovative Lösungen: Eine Person hält das Tablett eine andere zeigt auf den Bildschirm.

Ihre Ansprechpartner für individuelle Dienstleistungen

Jenny Kaspar

Jenny Kaspar

Account Managerin

jenny.kaspar@viada.de
Tel.: +49 176 141 44 051

Torsten Stondzik

Torsten Stondzik

Account Manager

torsten.stondzik@viada.de
Tel.: 0231 286 68-150