DevOps, SecDevOps, DevSecOps und SecDevSecOps – was haben diese ganzen Abkürzungen zu bedeuten?
Gehen wir zuerst auf die Namen ein. Hinter den Abkürzungen stehen diese Begriffe:
DevOps = Development & Operations
DevSecOps = Development & Secured Operations
SecDevOps = Secured Development & Operations
SecDevSecOps = Secured Development & Secured Operations
Bei der Betrachtung des Vorgehensweise stellt man schnell fest, das einige Praktiken der Automatisierung von Prozessen und Barrierefreiheit zwischen Entwicklern und der IT-Infrastruktur dazu führen schneller, nachvollziehbarer und zuverlässiger Produkte oder Releases, Bugfixes zu entwickeln, zu testen und freizugeben.
DevOps als Wettbewerbsvorteil, dies spiegelt sich z. B. in solchen Aussagen wider:
"Dank DevOps können wir sehr häufig Releases veröffentlichen, wodurch wir im Wettbewerb einen Vorteil haben. Wir können nun täglich statt nur alle sechs Monate neue Produkte auf den Markt bringen und unseren Kunden Fehlerbehebungen innerhalb weniger Stunden zur Verfügung stellen."
Hamesh Chawla, VP of Engineering bei Zephyr
Eine massgebliche Grundlage von DevOps, SecDevOps, DevSecOps und SecDevSecOps ist die Zusammenarbeit von mehreren Teams in den Bereichen Development und Infrastruktur. Durch die Zusammenarbeit von Teams kommt es zur einer Vertrauensstärkung, die wiederum dazu führt, dass schnellere Software-Release-Wechsel stattfinden, z. B. die Behebung unplanbarer kritischer Fehler.
Secured Development
Secure Development und Secure Deployment werden auch benannt als S-SDLC (Secure Software Deplopment Life Cycle). Es werden in jeder Phase der Entwicklung: Checklisten, Templates für Aktivitäten und Protokolle zum Nachvollziehen benutzt. Ziel ist es, den Benutzern/Entwickern zu helfen, durch Benutzung von Methodiken Security Issues zu vermeiden und so das Security Overall-Level zu erhöhen.
Im Entwicklungszyklus sind von folgende Punkte enthalten (je nach Bedarf anzupassen):
- Einführung: S-SDLC Framework
- Training Guideline: Aufzeigen von Security Problematiken und wie diese zu verhindern sind „“ Training System
- Requirements Phase: Risk Evaluation Guideline und Requirements Criteria Doc.
- Design Phase: Security Design Review Guideline und Threat Modeling Guideline.
- Implement Phase: Security Coding Guide(C/C++ã€JAVAã€PHP,C#)
- Validation Phase: Aktivität Level, Security Testing Guideline
- Release Phase: Vulnerability Management und Incident Response Guideline
Secured Operations
Secure Operation hilft um ein sichere, rolenbasierte Infrastuktur aufzubauen, zu verwalten und wieder abzubauen. Dabei wird auf gesicherten Pfaden operiert. Dies inkludiert eine Identity Validation und Authentifizierung als auch das Absichern von Netzwerkwegen.
Die Secured Operations werden unter RDSIM zusammengefasst (je nach Bedarf anzupassen):
- Role-based Access: Die rollenbasierte Zugriffssteuerung unterverwendung von Benutzern, Gruppen und Anwendungen mit benutzerspezifischen Berechtigungen.
- Datenspeicherung: Beschränkung von Zugriffen und Speichermedien auf bestimmte Benutzer/Gruppen und Kommunikationswege z.B. https.
- Sicherheitsrichtlinien: Verwendung und Bereitstellung von End-To-End-Lösungen, sowie die Dokumentation von Sicherheitsvorfällen und abgeleitete Handlungsweisen. Wie die Empfehlung zur Benutzung neuer Technologien z.B. Next Generation Firewalls.
- Identitätsrichtlinien: Sicherung der Identität von Prozessen und Benutzer oder Gruppen mit Hilfer der Verwendung Authentifizierung z.B Single-Sign-One (SSO) und Multi-Faktor Authentifizierung, als auch Step-Up and Step-Down Authentifizierung
- Monitoring: Überprüfung und Bewertung von sicherheitsrelevanter Ereignisse bzw. Kritischer Aktivitäten und Anomalieerkennung. Kritische Ereignisse werden einer detizierten Sicherheitsrichtlinie zugeführt.
DevOps/SecDevOps/DevSecOps/SecDevSecOps meet Agilität
Mit dem Ziel des „Continous Delivery“ werden die Besten Teile der Enwickler und Operatoren vereint, um die Effizienz der Automatisierung im Zuge der Digitalisierung zu erhöhen. Agile Techniken wie Scrum, Agile sind beliebte Methoden, um die Zusammenarbeit der Teams und Innovationskraft zu steigern. DevOps ist eine Denkweise, eine Methode, eine Vorgehensweise mit dem Ziel togehter.
DevOps und all seine Varianten von Secured sind somit das Netzwerk um zielgerichtete Operations und Verhalten zu ermöglichen. Die dahinterliegenden Tools sind Mittel zum Zweck dieses zu erreichen.