Im vorigen Beitrag haben wir mit dem Exchange-Zwischenstopp beschrieben, wie wir das Thema Datenhaltung und Datenaustausch bearbeiten. Das fĂŒhrt uns nun fast unweigerlich zum Zwischenstopp Protect.
In diesem Zwischenstopp liegt der Fokus voll auf Security relevante Themen und die EinfĂŒhrung von DevSecOps basierend auf dem unternehmensspezifischen SSDLC mithilfe der Ideen aus Team Topologies.
Was kann ich mir von diesem Zwischenstopp erwarten?
Im Protect-Zwischenstopp sind folgende Themen enthalten:
Secure Software Development Lifecycle (SSDLC)
Peer & User Authentifizierung
Autorisierung
Identity Provider
Data-in-Motion absichern
Data-at-Rest absichern
Secrets
Zertifikate
Ein hĂ€ufiges Problem in der Softwareentwicklung besteht darin, dass sicherheitsrelevante AktivitĂ€ten bis zur Testphase aufgeschoben werden. Oftmals bis zu einer relativ spĂ€ten Phase des Software Development Lifecycles (SDLC), in der ein GroĂteil der kritischen Design- und Implementierungsprozesse bereits abgeschlossen ist.
Probleme, die in dieser spĂ€ten Phase des SDLC-Prozesses entdeckt werden, fĂŒhren hĂ€ufig zu Verzögerungen beim Produktionsgang. Zu diesem Zeitpunkt sind Probleme zeitaufwĂ€ndiger und teurer zu beheben, da sie eine Neuentwicklung und erneutes Testen erfordern können.
Die Implementierung effektiver Sicherheitsprozesse erfordert von den Teams einen âShift Leftâ, wobei Sicherheitsbelange in sĂ€mtlichen Phasen des SDLC berĂŒcksichtigt werden mĂŒssen, und zwar vom Beginn bis zum Ende des Umsetzungsvorhabens. Ein Vorgehen das diesem Paradigma folgt nennt man einen Secure Software Development Lifecycle (SSDLC).
Das hört sich in der Theorie recht einfach an, ist aber bei der praktischen Umsetzung eine groĂe Herausforderung. Vorallem die zusĂ€tzliche kognitive Last, die auf Entwicklungsteams abgeladen wird ist gewaltig, da nicht jeder Entwickler automatisch auch eine Sicherheitsexperte ist.
Um das "Shift Left" der Security-Themen also tatsĂ€chlich zu erreichen, ist es erforderlich diese iterativ und in kleinen Schritten einzufĂŒhren und zum anderen entsprechendes Tooling bereit zu stellen, welches die Teams optimal unterstĂŒtzt (bspw. Snyk).
Warum soll ich bei diesem Zwischenstopp halt machen?
Abgesicherte Software Systeme und Prozesse helfen dabei die Risiken zu minimieren, dass Daten manipuliert oder gestohlen werden können. Was wiederrum das Vertrauen in das Software System, aber auch in das Unternehmen selbst stÀrkt. Gerade Vertrauen ist in der Regel entscheinend ob ein Unternehmen langfristig erfolgreich ist. Und Vertrauensverlust tritt schneller ein, als das Vertrauen aufgebaut werden kann.
Wie bereits beschrieben, steigern sich die Kosten oftmals exponentiell zum Zeitpunkt innerhalb des Softwarelebenszyklus wann ein Problem gefunden wird. Es ist also essentiell, eventuelle Probleme so frĂŒh wie möglich zu erkennen und zu beheben.
Ein weiterer, nicht auĂer Acht zu lassender Punkt, ist die Compliance mit regulatorischen Vorgaben, die natĂŒrlich ebenfalls sicherheitsrelevante AusprĂ€gungen beinhalten können. Eine Nichteinhaltung dieser kann zu negativen Konsequenzen fĂŒr das gesamte Unternehmen fĂŒhren.
Wie lÀuft dieser Zwischenstopp ab?
Die OWASP bietet mit der OWASP Security Culture ein Rahmenwerk fĂŒr die EinfĂŒhrung von Security-Prozessen in den Entwicklungsprozess. Wie bereits eingang erwĂ€hnt, erzeugt die EinfĂŒhrung dieser Konzepte jedoch zusĂ€tzliche kognitive Last innerhalb eines DevOps-Teams.
Das bedeutet, dass die DevOps-Teams vorallem am Start der EinfĂŒhrung viel UnterstĂŒtzungsleistung benötigen. An dieser Stelle kommen die Ideen aus Team Topologies zum Einsatz, um die DevOps-Teams zu DevSecOps-Teams weiter zu entwickeln.
Auf Security fokussierte Enabling Teams unterstĂŒtzen, indem die Security Champions innerhalb des DevSecOps-Teams behutsam in die Aufgabe eingefĂŒhrt werden. Damit Ă€ndert sich auch der Fokus von Security-Teams. Diese stellen Security Aspekte nicht mehr am Ende eines Entwicklungszyklus sicher, sondern arbeiten aktiv mit und werden so aus Entwicklersicht zu âEnablernâ statt âSecurity Gatekeepernâ.
Damit nun ein unternehmensweiter Austausch jeglicher Mitarbeiter mit Fokus auf Security stattfinden kann, bietet sich die Etablierung einer "Community of Security Practice" an. Diese Community dient zum Wissenaustausch, aber auch zur iterativen und laufenden Weiterentwicklung des SSDLC bzw. von Security-Richtlinien/Vorgaben.
Um diesen Zwischenstopp noch weiter zu vertiefen, werden wir in den nĂ€chsten Posts zum einen beschreiben wie Snyk als Tool dabei unterstĂŒtzt ein "Shift Left" von Security-Themen zu schaffen und zum anderen wie die Themen Secrets & Zertifikate State-of-the-Art von HashiCorp Vault abgedeckt werden.
AbschlieĂend wollen wir an der Stelle noch auf einem Post zum Thema Service Mesh hinweisen:
In diesem Post wird nĂ€mlich darauf eingegangen, wie ein Zero-Trust Ansatz mithilfe eines Service Mesh und Mutual Authtentication implementiert werden kann đ.