Dieser Blog wurde gemeinsam mit Robert Masterson von Thales verfasst.
"DevOps wird nicht von heute auf morgen umgesetzt - es gibt immer wieder Zwischenstopps, Irrwege und schrittweise Verbesserungen auf dem Weg dorthin. Aber es besteht kein Zweifel, dass DevOps die Art und Weise, wie wir Anwendungen entwickeln und bereitstellen, sowie die dafür verwendeten Tools beeinflusst. Es verändert auch die Art und Weise, wie wir über Sicherheit nachdenken müssen, die oft hinter unserem Streben nach mehr Produktivität und schnellerer Bereitstellung zurückbleibt.
Um die Dinge ins rechte Licht zu rücken, prognostiziert Gartner, dass bis zum Jahr 2022 mehr als 75 % der globalen Unternehmen containerisierte Anwendungen in der Produktion einsetzen werden - ein deutlicher Anstieg gegenüber weniger als 30 % heute. DevOps wird zwar nicht durch Technologie definiert, aber die Anzahl der Tools, die wir zur Unterstützung des Übergangs zu kontinuierlicher Integration und kontinuierlicher Bereitstellung (CI/CD) verwenden können, ist sicherlich gestiegen - von Container-Orchestrierungsplattformen bis zu Tools für die Zusammenarbeit. Ganz zu schweigen von der Vielfalt der Programmiersprachen und Multi-Cloud-Konfigurationen.
Unsere Frage ist: Wo bleibt die Sicherheit? Im vergangenen Jahr haben wir an unzähligen Konferenzen und Präsentationen teilgenommen, bei denen neue DevOps-Tools vorgestellt wurden, aber nur selten haben wir etwas über Sicherheit gehört - insbesondere wenn es um kryptografische Schlüssel und digitale Zertifikate geht. Trotz der entscheidenden Bedeutung von Schlüsseln und Zertifikaten für die Codesignierung, Verschlüsselung und Authentifizierung in der DevOps-Umgebung haben Sicherheitsteams oft so gut wie keine Sichtbarkeit oder Kontrolle über sie.
Herausforderungen bei der Anpassung von DevOps an Sicherheitsrichtlinien
Die meisten Unternehmen tun sich schwer mit der Durchsetzung konsistenter Sicherheit und Governance im Rahmen von DevOps-Prozessen - aber sollte uns das wirklich überraschen? Sicherheitsteams haben zwar die Aufgabe, Risiken zu minimieren, aber gute Sicherheitspraktiken werden in den Augen der Entwickler fast immer hinter der Bereitstellung von Funktionen zurückstehen. Ohne die richtigen Tools können Sicherheitsteams nur schwer mit dem Grad an Automatisierung und Flexibilität mithalten, den Entwickler benötigen, um gute Sicherheitspraktiken bereitwillig zu übernehmen.
Die meisten DevOps-Teams arbeiten immer noch innerhalb eines Silos, das es ihnen ermöglicht, die von ihnen bevorzugte Infrastruktur und die von ihnen bevorzugten Tools zu nutzen, während sie sich von den IT- und Sicherheitsrichtlinien des Unternehmens fernhalten. Sie umgehen die von den Sicherheitsteams aufgestellten Leitplanken und entscheiden sich für nicht konforme Alternativen, anstatt diese Richtlinien zu befolgen. Manuelle und ticketbasierte Prozesse zur Installation von Zertifikaten nehmen Zeit in Anspruch, die den Entwicklern fehlt, so dass sie stattdessen selbst entwickelte Skripte und nicht autorisierte oder unsichere PKI-Quellen verwenden.
Cloud-Dienste, open-source -Tools und Orchestrierungsplattformen mit integrierten Funktionen erleichtern es Entwicklern, Zertifikate zu erhalten, wann und wo immer sie benötigt werden, aber dies führt zu Sicherheits- und Compliance-Risiken, da Zertifikate oft nicht verfolgt oder verwaltet werden. Infosec-Gruppen, die damit beauftragt sind, alles richtig zu machen, finden es oft fast unmöglich zu verhindern, dass unbekannte oder nicht konforme Zertifikate zu störenden Ausfällen und Sicherheitslücken führen.
Ohne die richtige Plattform für die Verwaltung dieser Zertifikate in großem Umfang sind die Sicherheitsteams aufgeschmissen.
Keyfactor Command: Ermöglichung sicherer Innovation für DevOps
Keyfactor Command bietet eine einzige Plattform, die es DevOps-Teams ermöglicht, schnell und einfach auf Schlüssel und digitale Zertifikate zuzugreifen, während Sicherheitsteams die volle Transparenz und Kontrolle behalten, einheitliche Richtlinien durchsetzen und sicherstellen, dass Zertifikate nur von vertrauenswürdigen öffentlichen und internen Zertifizierungsstellen stammen.
Die Plattform lässt sich auch mit Tools in Ihrer CI/CD-Pipeline wie Docker, Jenkins und HashiCorp Vault (unter anderem) integrieren, um eine einzige vertrauenswürdige Quelle für Zertifikate zu bieten. Direkte Integrationen über die REST-API oder ACME können Prozesse auch völlig transparent und automatisiert machen. Auf diese Weise müssen die Entwickler ihren Arbeitsablauf nicht verlassen, um Zertifikate zu beschaffen und zu installieren. Dies erleichtert manuelle, zeitaufwändige Sicherheitsprozesse, die DevOps-Teams bisher vermieden haben.
Noch besser ist, dass Unternehmen all dies über unser komplettes PKI-as-a-Service-Angebot abwickeln können - eine speziell entwickelte und dedizierte PKI, die in der Cloud gehostet wird. Dank unserer Wurzeln als Beratungsdienstleister verfügen wir über jahrelange Erfahrung im Aufbau und Betrieb einer angemessenen PKI. Dadurch können sich DevOps- und Sicherheitsteams auf ihre Kernkompetenzen konzentrieren und müssen nicht mehrere interne Zertifizierungsstellen einrichten und verwalten oder sich ausschließlich auf kostenlose open-source Tools verlassen, die häufig nicht den IT- und Sicherheitsrichtlinien des Unternehmens entsprechen.
Keyfactor & Thales: Sicher integrierte PKI für DevOps
Keyfactor entwickelt seine Plattform kontinuierlich weiter, unter anderem mit der kürzlich erfolgten Einführung der Unterstützung für das ACME-Protokoll und HashiCorp Vault. Diese sowie ein umfangreiches Portfolio an Automatisierungsfunktionen, APIs und Integrationen machen es einfach, die dringend benötigte Zertifikatsverwaltung für DevOps-Teams einzubinden. Die Lösung ermöglicht einen optimierten Lebenszyklus für digitale Zertifikate und Signaturen über die gesamte Pipeline hinweg - von der Entwicklung über die kontinuierliche Bereitstellung bis zur Laufzeit.
Das Cloud-basierte HSM von Thales - bekannt als Data Protection on Demand (DPoD) - und das SafeNet Luna HSM vor Ort bieten eine hardware Vertrauensbasis für die Keyfactor Plattform. Unsere Plattform lässt sich nativ in die HSMs von Thales integrieren, um sicherzustellen, dass kritische private CA-Schlüssel und Code Signing-Schlüssel jederzeit sicher aufbewahrt werden. HSMs bieten eine hochsichere, manipulationssichere Speicherung, um private Schlüssel vor Missbrauch oder Diebstahl zu schützen, da Angreifer zunehmend auf diese Assets abzielen, um bösartigen Code zu signieren oder sich als vertrauenswürdige Instanzen auszugeben.
Der Weg zu DevOps kann eine Herausforderung sein. DevOps gut zu machen bedeutet, dass die Sicherheit in den gesamten software Entwicklungslebenszyklus integriert werden muss, aber natürlich brauchen Sie die richtigen Tools, um dieses Ziel zu erreichen. Wenn es um PKI geht, haben Keyfactor und Thales eine Partnerschaft geschlossen, um sicherzustellen, dass sowohl DevOps- als auch Sicherheitsteams ihre gemeinsamen Ziele durch integrierte Sicherheit, Richtliniendurchsetzung und Automatisierung erreichen können. Wir versetzen sie in die Lage, sich schnell zu bewegen und der Konkurrenz voraus zu sein, ohne die Sicherheit zu opfern.
Entdecken Sie, wie die Automatisierung des Lebenszyklus von Zertifikaten Ihnen helfen kann, DevOps- und Sicherheitsziele zu erreichen. Laden Sie das DevOps.com eBook herunter:
