Share
Beitragsbild zu Von DevOps zu DevSecOps mit Microgateways

Von DevOps zu DevSecOps mit Microgateways

Software-Entwicklung und -Betrieb verfolgen in einem Unternehmen unterschiedliche Ziele. Während die Softwareentwicklung agil, kreativ und auf dem neusten technischen Stand sein muss, muss auf der anderen Seite der IT-Betrieb für Stabilität, Sicherheit und Zuverlässigkeit sorgen. DevOps beide Welten miteinander.

DevOps zu DevSecOps

Das „Sec“ in „DevSecOps“ verdeutlicht die Kooperation und die Verantwortung. In einer DevSecOps-Kultur ist idealerweise ein Sicherheitsexperte Teil jedes agilen Teams. Er kümmert sich um nicht-funktionale Anforderungen, wie etwa die Klassifizierung von Daten und andere Aspekte der Risikoanalyse. Dadurch wird sichergestellt, dass der Product Owner bei der Entwicklung auch Sicherheitsaspekte berücksichtigt.

Dieser proaktive Ansatz ermöglicht es Teams, die Gesamtverantwortung für den Umfang ihrer Services zu übernehmen. Wenn die Sicherheit noch dazu asynchron zur Produktentwicklung integriert wird, kann der Product Owner sowohl die Geschwindigkeit als auch die Sicherheit steuern, ohne dabei eines von beiden zu vernachlässigen. Daher erfordert eine agile Entwicklung auch agile Infrastrukturen und agile Sicherheit.

Wie Software vor internen und externen Bedrohungen geschützt wird, entwickelt sich als Reaktion anhand der aktuellen Bedrohungslage. Der jüngste Schritt in dieser Entwicklung ist die Einführung von Zero Trust-Architekturen. Bei herkömmlichen Perimeter-Sicherheitsarchitekturen erfolgt die Trennung zwischen einem unsicheren externen Netzwerk und einem sicheren internen Netzwerk am Perimeter. Hier wird der gesamte Datenverkehr überwacht, und potenziell gefährlicher Verkehr wird blockiert. Bei Zero Trust-Architekturen wird die Überwachung und Blockierung von Verkehr nicht mehr am Perimeter durchgeführt, sondern direkt von den Diensten selbst. Anders ausgedrückt, jeder Dienst prüft seinen eigenen Datenverkehr und erlaubt nur den als sicher erkannten Verkehr. Dies reduziert die Komplexität des Sicherheitssystems und macht es überschaubarer. Die Implementierung einer Zero Trust-Architektur erfordert Technologien, die denen am Perimeter ähneln, jedoch in kleinerem und ressourcenschonendem Maßstab. Aus dieser Anforderung heraus entstand die Idee eines Microgateways.

Microgateways: Die Security in DevSecOps

Die Stärke des Zero Trust-Konzepts liegt darin, Ressourcen und Sicherheitsmaßnahmen überall verteilen und an die jeweiligen Anforderungen anzupassen zu können. Sicherheit ist also nicht mehr nur an einem einzigen Ort konzentriert. Allerdings liegt hier auch eine große Herausforderung, denn nicht alles kann einfach überall verteilt werden. Eine solche Herausforderung betrifft etwa das Identitäts- und Zugangsmanagement (IAM): Um Benutzern ein nahtloses Single-Sign-On-Erlebnis zu bieten, ist es am besten, zentrale Authentifizierungs- und Identitätsmanagementdienste zu verwenden.

In diesem Kontext fungiert das Edge-Gateway als eine Art Wächter für Sicherheitsrichtlinien. Die eigentlichen Entscheidungen darüber, wer auf welche Ressourcen zugreifen darf, werden jedoch von einem zentralen IAM-Dienst getroffen (wie in einem Diagramm dargestellt). Die Prüfung der Identität der Benutzer und die Autorisierung, was sie tun dürfen, erfolgen durch die einzelnen Dienste und Ressourcen selbst.

Das Aufstellen eines Edge Gateways vor den Microgateways ist keine technische Notwendigkeit, sondern eine Entscheidung im Designprozess. Diese Entscheidung basiert darauf, dass bestimmte Aufgaben besser auf einem sogenannten Edge-orientierten Gerät erledigt werden können, während andere eng mit einem bestimmten Service verbunden sind. Das Edge-orientierte Gateway hat deshalb eine eher generische Konfiguration. Dadurch wird die einfache und reibungslose Integration neuer Dienste ermöglicht, die von den einzelnen Microgateway-Instanzen geschützt werden. Mit anderen Worten, es dient als eine Art zentrale Schnittstelle, die es erleichtert, neue Dienste in das System aufzunehmen und sie effektiv zu schützen.

Das Aufgabengebiet für die Integration von Funktionen, wie das Hinzufügen von Ausnahmeregelungen oder das Umleiten von URLs, liegt normalerweise beim Microgateway. Dieses Gateway ist eine schlanke Sicherheitskomponente, die einen bestimmten Dienst schützt. In einer Zero Trust-Architektur sorgt jede Dienstinstanz nicht nur für ihren eigenen Schutz vor unerwünschtem Datenverkehr, sondern überprüft auch jede Anfrage, um sicherzustellen, dass nur ordnungsgemäß authentifizierte Benutzer Zugriff auf die entsprechenden Dienste und Daten haben. Die Entscheidung, ob ein Dienst oder eine Anwendung für externe Anfragen geöffnet wird, kann nach wie vor am Netzwerkperimeter getroffen werden.

Fazit

Um DevOps in DevSecOps zu verwandeln, stellen Microgateways ein wichtiges Werkzeug dar. Sie unterstützen die DevOps-Teams bei der Umsetzung von Zero Trust-Architekturen. Mehr erfahren Sie bei Airlock: https://www.airlock.com/secure-access-hub/komponenten/microgateway

Autor: Gernot Bekk-Huber, Senior Marketing Director Airlock bei Ergon Informatik

Firma zum Thema

airlock

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden