Disclaimer: Dieser Beitrag ist nicht als religiöse Aussage gedacht, sondern lediglich als Analogie, um zu veranschaulichen, wie DevSecOps die Ingenieurskultur beeinflusst hat, sowohl intern bei PagerDuty als auch im weiteren Sinne bei unseren über 10.000 Kunden.

Wer von DevOps überzeugt ist, hebt bitte die Hand – danke, ich sehe sie. Als ehemaliger Organisator der DevOpsDays Toronto (2014–2016) war ich, gelinde gesagt, von Anfang an begeistert. Doch dank der hervorragenden Forschung der DevOps Research Association (DORA) und zahlreicher weiterer Beiträge… Status von DevOps Laut früheren Berichten ist die DevOps-Kultur heute viel weniger ein Glaubenskampf als in der Vergangenheit.

Einige Streitpunkte bestehen weiterhin, wie beispielsweise eine übermäßige Betonung der Bereitstellungsautomatisierung und eine Mangelnde Transformation der Eigentumsverhältnisse im Dienstleistungsbereich Im Großen und Ganzen ist es heutzutage, als würde man mit Entwicklern und Betriebsingenieuren über DevOps sprechen, als würde man vor Bekehrten predigen. Sie haben ihren Fokus auf die Kundenergebnisse gerichtet und können dadurch schneller als je zuvor auf Kundenbedürfnisse reagieren und Änderungen implementieren. Oder besser gesagt, sie sollten es können … wenn da nicht die Gatekeeper wären, also das „Nein“-Team, sprich das Sicherheitsteam. Ich möchte Sicherheitsteams keinesfalls verteufeln – sie haben ein einziges, gewaltiges Ziel („Du sollst nicht gehackt werden“) und sehen sich mit einer Vielzahl von Herausforderungen konfrontiert. Allein das Wachstum von AWS zeigt eine atemberaubende Geschwindigkeit der Cloud-Einführung, die eine größere Angriffsfläche, veränderte Sicherheitsannahmen und zahlreiche Cybersicherheitsbedrohungen mit sich bringt. Teams strömen dorthin, weil sie dort automatisieren und Self-Service nutzen können, was ihnen hilft, die Kundenanforderungen zu erfüllen, die ein hohes Änderungstempo und oft Echtzeitreaktionen erfordern.

Wie zuvor schon die Betriebsteams, waren auch Sicherheitsteams traditionell resistent gegen Veränderungen. Veränderungen bergen Risiken und Fehlerpotenzial. Um das Unternehmen jedoch voranzubringen, sind Veränderungen notwendig. Um sicherzustellen, dass Veränderungen hinsichtlich des Risikos akzeptabel waren, wurden unzählige Checklisten und Regeln eingeführt: „Du darfst Benutzereingaben NICHT analysieren, ohne auf Injection-Angriffe zu prüfen“, „Du darfst KEINE HTTP-Anfragen ohne SSL stellen“, „Du darfst KEINEN neuen Dienst ohne Penetrationstest veröffentlichen“, „Du darfst KEINE Abhängigkeiten von Open-Source-Bibliotheken eingehen“ usw.

Ich vergleiche das mit den Zehn Geboten im Alten Testament der Bibel. Richtlinien sind wichtig, aber der eigentliche Sinn des Gesetzes geht oft verloren, und schließlich finden die Menschen neue Wege, es zu befolgen, ohne den Sinn zu verstehen. Anders gesagt: Entwickler finden Wege, Ihre Sicherheitsvorkehrungen zu umgehen, wenn diese sie daran hindern, Kunden zu bedienen. Sollte Sicherheit uns aber nicht gerade dabei helfen, unsere Kunden besser zu bedienen?

Heißt das also, dass wir die Checklisten über Bord werfen und das Chaos regieren lassen? Sicher nicht! Das Christentum lehrt, dass Jesus nicht kam, um das Gesetz aufzuheben, sondern um es zu erfüllen. Ebenso ist die gute Nachricht von DevSecOps (das Wort „Evangelium“ bedeutet einfach „gute Nachricht“), dass es Hoffnung gibt, wenn wir uns unternehmensweit darauf konzentrieren, unsere Kunden zu lieben. Das bedeutet, dass Sicherheitsteams und Entwickler eine gemeinsame Sichtweise und eine gemeinsame Sprache haben, um Risiko und Nutzen zu bewerten. Sicherheitsteams binden Entwickler früher ein. Da kritische Sicherheitsprobleme auftreten können, während die Entwickler mitten in ihrer Arbeit sind, ist der Feedback-Zyklus eng. Letztendlich bedeutet dies, die Verantwortung für die Sicherheit zu teilen.

Die Vereinigung von PagerDuty und DevSecOps

Wie machen wir Sie erfolgreich mit einer DevSecOps-Kultur Für PagerDuty bedeutet dies die Zusammenarbeit mit unseren Partnern. Zusätzlich zur Einführung unserer verbesserten Amazon GuardDuty-Integration Sicherheitspartner wie Sumo Logic, Dome9, Threat Stack und Twistlock helfen uns dabei, unser Ökosystem von über 300 Integrationen weiter auszubauen.

Sumo-Logik Es unterstützt Sie bei der Echtzeitüberwachung wichtiger Sicherheitskennzahlen und Indikatoren für Kompromittierung (IOCs) und sendet handlungsrelevante Warnmeldungen an PagerDuty , um eine sofortige Reaktion durch Mitarbeiter zu ermöglichen. Darüber hinaus liefert die Kombination aus den umfangreichen Sicherheitsprotokolldaten von Sumo Logic und den detaillierten Überwachungsdaten von PagerDuty den nötigen Kontext, um die Untersuchungszeiten von Sicherheitsvorfällen zu verkürzen und das Compliance-Management zu vereinfachen.

Dome9 Dome9 ermöglicht es, Sicherheit und Compliance frühzeitig und regelmäßig in den Softwareentwicklungs- und -bereitstellungszyklus zu integrieren. PagerDuty dient dabei der Priorisierung und der Einleitung geeigneter Lösungsansätze – sei es eine dringende Fehlerbehebung vor der Produktionsfreigabe oder die Behebung eines Fehlers zu einem späteren Zeitpunkt. Mit Dome9 und PagerDuty können Sie Entwickler effektiver und proaktiver einbinden, um Compliance-Probleme schneller zu beheben und die Sicherheitsstandards zu gewährleisten.

Threat Stack bietet eine Cloud-Sicherheitsplattform zur schnellen Erkennung unsicheren System- und Benutzerverhaltens und nutzt PagerDuty , um den Feedback-Kreislauf zu schließen und auf Sicherheitsereignisse zu reagieren, bevor diese katastrophale Folgen haben. Die Übernahme der Verantwortung für Ihre Betriebsabläufe bedeutet, dass die Sicherheit nicht vernachlässigt werden darf. Deshalb arbeiten Plattformen wie Threat Stack und PagerDuty so gut zusammen, um die Sicherheitsverantwortung zu verteilen.

Drehverschluss Es ermöglicht Containersicherheit für Cloud-Plattformen, indem es Schwachstellen erkennt und Entwickler mithilfe von PagerDuty einbindet, bevor diese ausgenutzt werden. Zudem bietet es Laufzeitschutz für Hosts, Container und Funktionen, indem es aktiv nach Bedrohungen sucht und diese Signale zur sofortigen Reaktion an PagerDuty sendet.

Gemeinsam mit unseren Partnern möchten wir sehen Organisationen setzen auf DevSecOps Damit Sie Ihre Kunden weiterhin optimal bedienen können. Schnelleres Handeln bedeutet nicht, dass Sie die Sicherheit vernachlässigen müssen – alles beginnt damit, dass Sie einander entgegenkommen und eine gemeinsame Basis finden, auf die Sie sich stützen können. Vergessen Sie die Regeln (das „Wie“) und finden Sie den höheren Sinn (das „Warum“). Amen.

Besuchen Sie uns auf der re:Invent-Konferenz und sprechen Sie mit uns!
Als Advanced Partner im AWS Partner Network mit DevOps-Kompetenz freut sich PagerDuty , gemeinsam mit AWS auf der re:Invent diese spannenden neuen Integrationen unseren gemeinsamen Kunden vorzustellen. Besuchen Sie uns diese Woche in Las Vegas an Stand 1023.

Sie wollen nicht neu erfinden? PagerDuty bietet eine kostenlose 14-tägige Testversion und kann über die [Website/Plattform einfügen] bezogen werden. AWS Marketplace Außerdem können Sie mehr darüber lesen. Integrationen für AWS finden Sie hier. Die