DevOps, DevSecOps, SecDevOps und SecDevSecOps – Was Ist Das ?, Mario Nolte

Was ist das : DevOps, SecDevOps, DevSecOps und SecDevSecOps?

Gehen wir als erstes auf den Namen ein. Hinter den Abkürzungen steht für:

DevOps = Development & Operations

DevSecOps    = Development & Secured Operations

SecDevOps = Secured Development & Operations

SecDevSecOps = Secured Development & Secured Operations

Bei der Betrachtung des Vorgehensweise stellt man schnell fest, das einige Praktiken der Automatisierung von Prozessen und Barrierefreiheit zwischen Entwicklern und der IT-Infrastruktur dazu führen schneller, nachvollziehbarer und zuverlässiger Produkte oder Releases, Bugfixes zu entwickelt, zu testen und frei zu geben.

DevOps als Wettbewerbsvorteil, dies wiederspiegelt sich z.B. solchen Aussagen:

„Dank DevOps können wir sehr häufig Releases veröffentlichen, wodurch wir im Wettbewerb einen Vorteil haben. Wir können nun täglich statt nur alle sechs Monate neue Produkte auf den Markt bringen und unseren Kunden Fehlerbehebungen innerhalb weniger Stunden zur Verfügung stellen.“

– Hamesh Chawla, VP of Engineering bei Zephyr

Als massgebliche Grundlage von DevOps/SecDevOps/DevSecOps/SecDevSecOps ist die Zusammenarbeit von mehreren Teams von Devopment und der Infrastruktur. Durch die Zusammenarbeit von Teams kommt es zur einer Vertrauensstärkung, die wiederum dazuführt, dass schellere Software-Releases Wechsel – z.B. die Behebung unplanbarer kriitscher Fehler.

Secured Development

Secure Development und Secure Deployment werden auch benannt als S-SDLC (Secure Software Deplopment Life Cycle). Es werden in jeder Phase der Entwicklung: Checklisten, Templates für Aktivitäten und Protokolle zum Nachvollziehen benutzt. Ziel ist es, den Benutzern/Entwickern zu helfen, durch Benutzung von Methodiken Security Issues zu vermeiden und so das Security Overall-Level zu erhöhen.

Im Entwicklungszyklus sind von folgende Punkte enthalten (je nach Bedarf anzupassen):

  • Einführung: S-SDLC Framework
  • Training Guideline: Aufzeigen von Security Problematiken und wie diese zu verhindern sind – Training System
  • Requirements Phase: Risk Evaluation Guideline und Requirements Criteria Doc.
  • Design Phase: Security Design Review Guideline und Threat Modeling Guideline.
  • Implement Phase: Security Coding Guide(C/C++、JAVA、PHP,C#)
  • Validation Phase: Aktivität Level, Security Testing Guideline
  • Release Phase: Vulnerability Management und Incident Response Guideline

Secured Operations

Secure Operation hilft um ein sichere, rolenbasierte Infrastuktur aufzubauen, zu verwalten und wieder abzubauen. Dabei wird auf gesicherten Pfaden operiert. Dies inkludiert eine Identity Validation und Authentifizierung als auch das Absichern von Netzwerkwegen.

Die Secured Operations werden unter RDSIM zusammengefasst (je nach Bedarf anzupassen):

  • Role-based Access: Die rollenbasierte Zugriffssteuerung unterverwendung von Benutzern, Gruppen und Anwendungen mit benutzerspezifischen Berechtigungen.
  • Datenspeicherung: Beschränkung von Zugriffen und Speichermedien auf bestimmte Benutzer/Gruppen und Kommunikationswege z.B. https.
  • Sicherheitsrichtlinien: Verwendung und Bereitstellung von End-To-End-Lösungen, sowie die Dokumentation von Sicherheitsvorfällen und abgeleitete Handlungsweisen. Wie die Empfehlung zur Benutzung neuer Technologien z.B. Next Generation Firewalls.
  • Identitätsrichtlinien: Sicherung der Identität von Prozessen und Benutzer oder Gruppen mit Hilfer der Verwendung Authentifizierung z.B Single-Sign-One (SSO) und Multi-Faktor Authentifizierung, als auch Step-Up and Step-Down Authentifizierung
  • Monitoring: Überprüfung und Bewertung von sicherheitsrelevanter Ereignisse bzw. Kritischer Aktivitäten und Anomalieerkennung. Kritische Ereignisse werden einer detizierten Sicherheitsrichtlinie zugeführt.

DevOps/SecDevOps/DevSecOps/SecDevSecOps meets Agilität

Mit dem Ziel des „Continous Delivery“ werden die Besten Teile der Enwickler und Operatoren vereint, um die Effizienz der Automatisierung im Zuge der Digitalisierung zu erhöhen. Agile Techniken wie Scrum, Agile sind beliebte Methoden, um die Zusammenarbeit der Teams und Innovationskraft zu steigern. DevOps ist eine Denkweise, eine Methode, eine Vorgehnsweise mit dem Ziel togehter.

DevOps und all seine Varianten von Secured sind somit das Netzwerk um zielgerichtete Operations und Verhalten zu ermöglichen. Die dahinterliegenden Tools sind Mittel zum Zweck dieses zu erreichen.

Mario Nolte:

https://macmario.com/blog/

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

%d Bloggern gefällt das: