Haftungsausschluss: Dieser Beitrag ist nicht als religiöses Bekenntnis gedacht, sondern lediglich als Analogie, um zu veranschaulichen, wie sich DevSecOps auf die Engineering-Kultur ausgewirkt hat, sowohl intern bei PagerDuty als auch allgemeiner bei unseren mehr als 10.000 Kunden.

Heben Sie die Hand, wenn Sie an DevOps glauben – danke, ich sehe diese Hand. Als ehemaliger Organisator der devopsdays Toronto (2014 – 2016) könnte man sagen, dass ich schon früh auf den Zug aufgesprungen bin. Aber dank der hervorragenden Forschung der DevOps Research Association (DORA) und zahlreicher Stand von DevOps Wie bereits in früheren Berichten zu lesen war, handelt es sich bei der DevOps-Kultur heute weit weniger um einen Glaubenskampf als in der Vergangenheit.

Einige Streitpunkte bleiben bestehen, wie zum Beispiel eine Überbetonung der Bereitstellungsautomatisierung und eine fehlende Transformation im Service-Eigentum , aber im Großen und Ganzen ist es heute so, als würde man offene Türen einrennen, wenn man mit Entwicklern und Betriebsingenieuren über DevOps spricht. Sie haben sich wieder auf die Ergebnisse für die Kunden konzentriert und sind daher in der Lage, schneller als je zuvor auf Kundenbedürfnisse zu reagieren und Änderungen umzusetzen. Oder besser gesagt, sie sollten dazu in der Lage sein … wenn es da nicht die Gatekeeper gäbe, auch bekannt als das „Nein“-Team, auch bekannt als das Sicherheitsteam. Ich möchte Sicherheitsteams keineswegs verteufeln – sie haben ein einziges, gewaltiges Ziel („Du sollst nicht gehackt werden“) und es spricht viel gegen sie. Allein das Wachstum von AWS zeigt eine atemberaubende Geschwindigkeit der Cloud-Einführung, die eine größere Angriffsfläche, andere Sicherheitsannahmen und zahlreiche Cybersicherheitsbedrohungen mit sich bringt. Die Teams strömen dorthin, weil sie die Möglichkeit zur Automatisierung und Selbstbedienung haben, was ihnen hilft, Kundenanforderungen zu erfüllen, die ein schnelles Änderungstempo und oft eine Reaktion in Echtzeit erfordern.

Wie zuvor die Betriebsteams, haben sich Sicherheitsteams traditionell gegen Veränderungen gewehrt. Veränderungen führen zu Misserfolgen und Risiken. Um das Geschäft jedoch voranzubringen, sind Veränderungen notwendig. Um jedoch sicherzustellen, dass die Änderungen im Hinblick auf das Risiko akzeptabel sind, wurden endlose Checklisten und Regeln eingeführt: „Du sollst KEINE Benutzereingaben analysieren, ohne Injektionsangriffe zu prüfen“, „Du sollst KEINE HTTP-Aufrufe ohne SSL durchführen“, „Du sollst KEINE neuen Dienste ohne Penetrationstest veröffentlichen“, „Du sollst KEINE Abhängigkeit von Open-Source-Bibliotheken eingehen“ und so weiter.

Ich vergleiche diese mit den Zehn Geboten im Alten Testament der Bibel. Es ist nichts falsch daran, Richtlinien zu haben, aber der Geist des Gesetzes geht oft verloren und irgendwann finden die Leute neue Wege, das Gesetz zu befolgen, ohne den Sinn zu verstehen. Anders gesagt: Entwickler werden Wege finden, Ihre Tore zu umgehen, wenn sie dadurch daran gehindert werden, Kunden zu bedienen. Aber sollte uns Sicherheit nicht ermöglichen, unsere Kunden besser zu bedienen?

Heißt das also, wir werfen die Checklisten über Bord und lassen das Chaos herrschen? Sicherlich nicht! Das Christentum lehrt, dass Jesus nicht gekommen ist, um das Gesetz abzuschaffen, sondern um es zu erfüllen. Ähnlich ist die gute Nachricht von DevSecOps („Evangelium“ bedeutet einfach „gute Nachricht“), dass es Hoffnung gibt, wenn wir uns unternehmensweit auf die Liebe zum Kunden konzentrieren. Das bedeutet, dass Sicherheitsteams und Entwickler eine gemeinsame Sichtweise und eine gemeinsame Sprache für die Bewertung von Risiko und Nutzen haben. Das bedeutet Sicherheitsteams binden Entwickler früher ein mit kritischen Sicherheitsproblemen, während die Entwickler im Fluss sind, sodass die Feedbackschleife eng ist. Und letztendlich bedeutet dies, dass die Sicherheitsverantwortung geteilt wird.

Die Vereinigung von PagerDuty und DevSecOps

Wie machen wir Sie erfolgreich mit einer DevSecOps-Kultur ? Für PagerDuty bedeutet es, sich mit unseren Partnern zusammenzuschließen. Neben der Einführung unserer verbesserten Amazon GuardDuty-Integration Sicherheitspartner wie Sumo Logic, Dome9, Threat Stack und Twistlock helfen uns, unser Ökosystem mit über 300 Integrationen auszubauen.

Sumo-Logik hilft Ihnen, wichtige Sicherheitsmetriken und Indikatoren für Kompromittierungen (IOCs) in Echtzeit zu überwachen und sendet umsetzbare Warnmeldungen an PagerDuty , um eine menschliche Reaktion in Echtzeit zu ermöglichen. Darüber hinaus bietet Ihnen die Kombination aus den riesigen Mengen an Sicherheitsprotokolldaten von Sumo Logic und den umfangreichen Überwachungsdaten von PagerDuty den Kontext, den Sie benötigen, um die Untersuchungszeit von Vorfällen zu verkürzen und das Compliance-Management zu vereinfachen.

Dome9 ermöglicht die frühzeitige und häufige Einbindung von Sicherheit und Compliance in den Lebenszyklus von Softwareentwicklung und -bereitstellung. PagerDuty wird zur Priorisierung und zur Erzielung der geeigneten Lösung verwendet, unabhängig davon, ob es sich um eine dringende Korrektur handelt, bevor die Software in die Produktion gelangt, oder um einen Defekt, der später behoben werden muss. Mit Dome9 und PagerDuty können Sie Entwickler effektiver und proaktiver einbinden, um Compliance-Probleme schneller zu beheben und die Sicherheitshygiene aufrechtzuerhalten.

Threat Stack bietet eine Cloud-Sicherheitsplattform, um unsicheres Verhalten von Systemen und Benutzern schnell zu erkennen, und nutzt PagerDuty , um den Feedback-Kreislauf zu schließen, indem bei Sicherheitsereignissen Maßnahmen ergriffen werden, bevor diese katastrophale Ausmaße annehmen. Wenn Sie die Verantwortung für Ihre Abläufe übernehmen, darf die Sicherheit nicht außer Acht gelassen werden. Deshalb arbeiten Plattformen wie Threat Stack und PagerDuty so gut zusammen, um die Sicherheitsverantwortung zu verteilen.

Drehverschluss ermöglicht Containersicherheit für Cloud-Plattformen, um nach Schwachstellen zu suchen und Entwickler mithilfe von PagerDuty einzubinden, bevor diese Schwachstellen ausgenutzt werden. Es bietet außerdem Laufzeitschutz für Hosts, Container und Funktionen, indem es aktiv nach Bedrohungen sucht und diese Signale an PagerDuty sendet, um sofort Maßnahmen zu ergreifen.

Gemeinsam mit unseren Partnern wollen wir Unternehmen setzen auf DevSecOps damit Sie Ihren Kunden weiterhin einen besseren Service bieten können. Schneller voranzukommen bedeutet nicht, dass Sie die Sicherheit aufgeben müssen – alles beginnt damit, dass Sie sich über den Tisch setzen und einen gemeinsamen Nenner finden, auf dem Sie sich versammeln können. Werfen Sie die Regeln (das „Wie“) über Bord und finden Sie den höheren Zweck (das „Warum“). Amen.

Sprechen Sie mit uns bei re:Invent
Als Advanced Partner im AWS-Partnernetzwerk mit DevOps-Kompetenz freut sich PagerDuty , gemeinsam mit AWS auf der re:Invent diese spannenden neuen Integrationen mit unseren gemeinsamen Kunden zu teilen. Wenn Sie diese Woche in Las Vegas sind, besuchen Sie uns am Stand 1023.

Sie möchten nicht an re:Invent teilnehmen? PagerDuty bietet eine kostenlose 14-tägige Testversion und kann über das AWS Marketplace . Außerdem können Sie mehr über diese lesen Integrationen für AWS hier .