Um der Schnelllebigkeit der IT-Industrie gerecht zu werden und als Unternehmen konkurrenzfähig zu bleiben, gibt es verschiedenste Organisationsmodelle.
Eines davon ist DevOps – die Kombination aus Development (Dev) und Operations (Ops). Da beim DevOps-Modell die Sicherheit (Sec) aber gerne vernachlässigt wurde, entwickelte man kurzerhand das DevSecOps-Modell, mit Fokus auf die Sicherheit (Sec).
DevOps-Team
Hauptmerkmal des DevOps-Modells ist, dass Entwicklung und Betrieb in einem Team zusammenarbeiten. Dies fördert vor allem die gesamtheitliche Sicht auf den Produktlebenszyklus (Entwicklung, Test, Bereitstellung, Betrieb) und es entsteht ein grösseres Verantwortungsbewusstsein des Teams für das entwickelte Produkt.
Warum DevOps?
In erster Linie beseitigt DevOps störende organisatorische Grenzen und führt zusammen, was zusammengehört. Zeitraubende Projektübergaben zwischen verschiedenen Teams können minimiert und Prozesse beschleunigt werden. Innovative Ergebnisse sind schneller beim Kunden und es kann besser und kurzfristiger auf den Markt reagiert werden.
Sicherheit im DevOps Kontext
Erfahrungen mit dem DevOps-Modell zeigten, dass das Thema Sicherheit gerne und oft vernachlässigt wurde. Ursächlich dafür ist, dass bei iterativen Projektführungsprozessen – wie DevOps – fixe Tollgates zugunsten einer schnelleren Durchlaufzeit wegfallen. So auch ein Grossteil der Security-Reviews durch die zentrale Sicherheitsorganisation.
Zudem geht das DevOps-Modell meist mit einer flachen Hierarchie einher, die zu Unsicherheiten bezüglich der Verantwortlichkeiten führt. Verantwortlichkeiten sind nicht mehr klassisch an Linienfunktionen gebunden und es ist das DevOps-Team, welches die End-zu-End-Verantwortung übernimmt, auch hinsichtlich Sicherheitsthemen.
DevSecOps – Die sichere Lösung
Um das Thema Sicherheit auch im DevOps Kontext zu fokussieren, wurde des DevOps-Modell zum DevSecOps-Modell weiterentwickelt. Dafür wurde sich verschiedenster Massnahmen bedient, die der Verankerung der Sicherheit dienen. Wichtig ist dabei immer, dass die Sicherheit ein integraler Teil des gesamten Produktlebenszyklus bildet und die Sicherheitsprüfung auch nach der Produktentwicklung nicht endet. Bei der Abgabe der Verantwortung in die Breite, also ins Team, muss immer klar definiert sein, wer für welche Risiken verantwortlich ist. Dies wird garantiert indem jedes Mitglied des DevSecOps-Teams über ein Grundwissen in Sicherheits- und Datenschutzthemen verfügt. Dieses Grundwissen kann mit Hilfe von Basisschulungen in Kombination mit E-Learnings vermittelt werden. Es ist die starke Integration der verschiedenen Sicherheitsaktivitäten, welche die Security in der DevOps-Organisation auszeichnet.
Die Rolle des Security-Champions
Security-Champions sind fester Bestandteil der DevSecOps-Teams. In ihrer Rolle, helfen sie dabei, die Sicherheit bei Neu- und Weiterentwicklungen von Produkten mit einzubauen. Zudem sind sie Ansprechpersonen für alle Sicherheitsthemen und es ist an den Security-Champions, das Bewusstsein für Sicherheit im Team zu fördern. Das heisst aber nicht, dass die Sicherheit eines Produktes in der Verantwortung des Security-Champions liegt. Die Verantwortung liegt beim Team und gemeinsam mit dem Security-Champion werden Sicherheitsthemen aktiv angegangen und Verantwortlichkeiten innerhalb und evt. auch ausserhalb des Teams definiert.
Werden die richtigen Massnahmen getroffen, stehen sich DevOps und Security also nicht im Weg, sondern eröffnen sich gegenseitig neue Möglichkeiten. So kann es gelingen, zumindest die Welt der Technik zu einem etwas besseren und sichereren Ort zu machen.
Quelle: Swisscom AG, Group Security, Bern
