Warum digitale Zertifikate für Ihre DevOps-Teams so wichtig sind

Unternehmen integrieren zunehmend DevOps in ihre App-Entwicklungsprozesse. Laut Amazon Web Services (AWS) ist DevOps für Unternehmen so vielversprechend, weil es das Potenzial hat, die Geschwindigkeit und Fähigkeit zur Bereitstellung neuer Anwendungen und Dienste zu erhöhen. Dies wird erreicht, indem die Entwicklungs- und Betriebsteams über den gesamten Anwendungslebenszyklus hinweg zusammenarbeiten. (Sicherheitsteams können auch an einem Prozess beteiligt sein, der als DevSecOps bekannt ist.) Entwicklungs- und Betriebspersonal verwenden gemeinsam erweiterte Technologie-Stacks und Tools, um Prozesse zu automatisieren, die sie traditionell manuell ausgeführt haben.

Unnötig zu erwähnen, dass Organisationen viele Vorteile durch die Einführung eines DevOps-Modells erzielen können. Wenn sie ihren Silos überlassen werden, kennen Entwickler, Betriebspersonal, Sicherheitsexperten und sogar Leute aus der Qualitätssicherung nicht unbedingt die Hindernisse, die einem rechtzeitigen Abschluss eines Projekts im Wege stehen könnten. Das liegt daran, dass diese Gruppen einer Aufgabe etwas anderes hinzufügen. Wie von Digital.ai angemerkt, gehen sie ihre Arbeit nicht unbedingt mit dem gleichen Verständnis des Geschäftskontexts oder -werts einer neuen Anwendung an. Daher könnten diese Teams sogar gegensätzliche Ziele haben, die ein Projekt aufhalten und zu Machtkämpfen führen könnten.

Digitale Zertifikate: Eine Herausforderung für DevOps, um mit der Sicherheit Schritt zu halten

Unternehmen möchten das Beste aus der Integration ihrer verschiedenen Teams unter einem DevOps-Modell herausholen. Angesichts dieser Tatsache ist es nicht verwunderlich, dass sich DevOps als Denkweise ständig ändert, um sich an die sich ständig weiterentwickelnde Technologielandschaft anzupassen. DevOps muss daher mit dem Bereich der Informationssicherheit Schritt halten.

Sid Phadkar, Senior Product Manager bei Akamai, machte diesen Punkt gegenüber TechRepublic deutlich:

Angesichts der steigenden Zahl von Datenschutzverletzungen und der zunehmenden Betonung von Datenschutzbestimmungen wie PSD2 und GDPR sowohl in den USA als auch weltweit werden DevOps-versierte Organisationen gezwungen sein, im kommenden Jahr der Sorgfalt bei den Sicherheitsmaßnahmen Vorrang einzuräumen. Mit der Einführung neuer Vorschriften werden mehr Anwendungsentwickler dazu verpflichtet, strenge Sicherheitsrichtlinien direkt im Code zu erstellen. Es wird einen Aufwärtstrend bei DevOps-Tools geben, die darauf abzielen, mehr Compliance-bezogene Aufgaben innerhalb von Infosec-Teams zu automatisieren und so Sicherheits- und Compliance-Maßnahmen in die täglichen CI-Workflows zu integrieren.

Das Problem ist, dass es nicht immer einfach ist, DevOps mit Sicherheit in Einklang zu bringen. Tatsächlich stellte Keyfactor fest, dass viele Organisationen aufgrund der oben diskutierten Konflikte Schwierigkeiten haben, konsistente Sicherheitsrichtlinien rund um DevOps durchzusetzen. Gute Sicherheitspraktiken kommen häufig mit der rechtzeitigen Bereitstellung einer neuen Anwendung oder eines neuen Dienstes in Berührung. Ohne die richtigen Tools zur Unterstützung von DevOps kann das Sicherheitspersonal Entwickler daher nicht so unterstützen, wie sie unterstützt werden müssen. Entwickler werden daher eher dazu neigen, sich neuen Sicherheitspraktiken zu widersetzen und nicht konforme Alternativen zu neuen Prozessen zu finden, die sie verlangsamen.

Diese Herausforderungen sind für das Lebenszyklusmanagement von Zertifikaten von besonderer Bedeutung. Organisationen müssen den DevOps-Lebenszyklus mit PKI über Codesignaturen oder die Erstellung eines Zertifikats sichern. Aber wie von AppViewX angemerkt, leidet diese PKI-Implementierung oft unter einem schlechten Einblick in die Lebenszyklen von Zertifikaten und einer inkonsistenten Kommunikation mit Zertifizierungsstellen.

Herkömmliche DevOps-Pipelines verlassen sich auch häufig auf manuelle Anfragen, um vertrauenswürdige Zertifikate zu erhalten. Diese Arten von Anfragen untergraben die Agilität des Softwareentwicklungslebenszyklus. Die meisten Container sind nicht sehr lange verfügbar. Wenn diese Anforderungen also Tage dauern, bis sie abgeschlossen sind, sind die resultierenden digitalen Zertifikate praktisch nutzlos, es sei denn, das Unternehmen verlangsamt die Bereitstellung von Anwendungen. Diese Dynamik erschwert es DevOps auch, diese Zertifikate selbst zu verwalten und zu überwachen. Teammitglieder könnten daher nach Abkürzungen suchen, auf Ad-hoc-Prozesse zurückgreifen oder Zertifikate kaufen, die mehrere kryptografische Standards verwenden – Variationen, die das Sicherheitsrisiko der Organisation erhöhen.

Diese Bedenken finden nicht nur bei Branchenanalysten Anklang. Sie werden auch von DevOps-Experten geteilt. In einer Umfrage aus dem Jahr 2019 sagten 74 % der DevOps-Experten gegenüber Venafi, sie seien besorgt, dass die Ausstellung von Zertifikaten die Entwicklung verlangsamen könnte. Etwas mehr als ein Drittel (39 %) der Entwickler gaben an, dass sie in der Lage sein sollten, diese Richtlinien zu umgehen, um ihre Service-Level-Vereinbarungen einzuhalten, während weniger als die Hälfte (48 %) der Befragten der Meinung waren, dass Entwickler in ihrer Organisation Zertifikate immer über Kanäle anfordern und Methoden, die vom Sicherheitsteam genehmigt wurden.

Wie DevOps-Teams am besten mit ihren Zertifikaten umgehen können

Als Reaktion auf die oben beschriebenen Herausforderungen können DevOps-Teams ihre Zertifikate am besten verwalten, indem sie ihre Zertifikatsverwaltungsprozesse automatisieren. Wie von DevOps.com angemerkt, unterstützen Orchestrierungstools wie Kubernetes die Zertifikatsverwaltung über das ACME-Protokoll. Kubernetes speichert private Schlüssel im Kubernetes Secret oder Hashicorp Vault und bietet so eine nahtlose Integration für das Zertifikatsverwaltungssystem. DevOps-Teams können ihre Container auch digital mit einer privaten Zertifizierungsstelle signieren, um einen bestimmten Container bei der Kommunikation über eine TLS-Verbindung zu überprüfen.

Abgesehen von der Automatisierung müssen DevOps die Sichtbarkeit ihrer Zertifikate erhöhen, um unnötige Ausfälle zu vermeiden. Teammitglieder müssen in der Lage sein, Zertifikate zu erneuern, bevor sie ablaufen, und unsachgemäße Konfigurationen beheben, um sicherzustellen, dass kritische Dienste weiterhin verfügbar sind. TechBeacon weist darauf hin, dass DevOps API-gesteuerte Automatisierungssammlungen, sogenannte „Rezepte“, verwenden sollten, um ihre Prozesse mit Schlüsseln und Zertifikaten zu orchestrieren, um sowohl Agilität als auch Sicherheit in Einklang zu bringen.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

• Wie implementiert man kontinuierliches Testen in DevOps?
• AWS DevOps-Ingenieure machen einen KILLING – starten Sie Ihre Karriere mit diesem 30-Dollar-Kurspaket
• Wie DevOps Kundendaten schützen kann
• Wie DevOps die Softwareentwicklung verändert

Anmerkung des Herausgebers: David Bisson ist ein Autor für Informationssicherheit und ein Sicherheitsjunkie. Er ist ein beitragender Redakteur für IBMs Security Intelligence und Tripwires The State of Security Blog, und er ist ein beitragender Autor für Bora. Er produziert auch regelmäßig schriftliche Inhalte für Zix und eine Reihe anderer Unternehmen im Bereich der digitalen Sicherheit.