Warum Red Hat für DevSecOps?

Viele Unternehmen konzentrieren sich bei der Implementierung von DevSecOps nur auf die Anwendungs-Pipeline. Es gibt aber noch andere Bereiche, die es zu beachten gilt. Bei den DevSecOps-Lösungen von Red Hat® geht es nicht nur darum, Unternehmen bei ihrer Anwendungs-Pipeline in containerisierten Umgebungen zu unterstützen. Es geht auch darum, ihnen beim Entwickeln, Bereitstellen und Ausführen von Anwendungen mithilfe von DevSecOps-Praktiken zu helfen – und zwar sowohl in traditionellen als auch in containerisierten Umgebungen, um Sicherheitsprobleme und Schwachstellen schon früh im Anwendungs- und Infrastruktur-Lifecycle angehen zu können.

Zusammen mit einem Netzwerk aus Sicherheitspartnern bietet Red Hat einen DevSecOps-Ansatz, mit dem Unternehmen weiter Innovationen schaffen können, ohne dabei die Sicherheit zu gefährden. Mit unserer Expertise und Kompetenz liefern wir ein robustes Portfolio, mit dem Unternehmen sicherheitsorientierte Anwendungen ortsunabhängig in ihrer Open Hybrid Cloud entwickeln, bereitstellen und ausführen können – egal in welcher Phase der DevSecOps-Einführung sie sich befinden.

DevSecOps is a complex undertaking, especially as DevOps tools—and the DevOps process in general—continually grow and change. Then there are additional measures for software security and technologies that enable DevSecOps and allow organizations to do it at scale, using technologies such as containers, Kubernetes, and public cloud services to develop modern applications.

Development and operations teams must make information security—including containers and Kubernetes security—an integral part of the application and infrastructure life cycle from the start. Team members need to safeguard critical IT infrastructure, develop and run security-focused applications, protect confidential data, and keep pace with change.

DevSecOps helps these IT and security teams tackle security issues across people, processes, and technologies, allowing for improved speed and efficiency, better security, enhanced consistency, repeatability, and collaboration. Specifically, DevSecOps can help:

• Improve safety and minimize risks by removing more security vulnerabilities early in the application development and infrastructure life cycle, which can reduce potential production issues.
• Enhance efficiency and speed of DevOps release cycles by removing legacy security practices and tools—and using automation, standardizing on a toolchain, and implementing infrastructure as code, security as code, and compliance as code for repeatability and consistency for an improved development process.
• Lessen risk and increase visibility by implementing security gates early in the application development and infrastructure life cycle to reduce the possibility of human error and improve security, compliance, predictability, and repeatability while reducing audit concerns.

DevSecOps ist ein komplexes Unterfangen, insbesondere weil sich die DevOps-Tools – und der DevOps-Prozess allgemein – kontinuierlich weiterentwickeln und ändern. Dazu kommen weitere Maßnahmen für die Softwaresicherheit sowie Technologien, die den Einsatz von DevSecOps nicht nur generell, sondern zur Entwicklung moderner Anwendungen auch in großem Umfang ermöglichen – mithilfe von Technologien wie Containern, Kubernetes und Public Cloud-Services.

Entwicklungs- und Operations-Teams müssen dafür sorgen, dass die Informationssicherheit – einschließlich der Sicherheit von Kubernetes und Containern – von Anfang an integraler Bestandteil des Anwendungs- und Infrastruktur-Lifecycles ist. Damit fällt es diesen Beschäftigten zu, die wichtige IT-Infrastruktur zu schützen, sicherheitsorientierte Anwendungen zu entwickeln und auszuführen, für die Sicherheit sensibler Daten zu sorgen und mit dem Wandel Schritt zu halten.

DevSecOps hilft den IT- und Sicherheitsteams dabei, Sicherheitsprobleme anzugehen – egal, ob es um Personal, Prozesse oder Technologien geht. Dadurch können sie das Tempo und die Effizienz in ihrem Unternehmen erhöhen, für mehr Sicherheit und Konsistenz sorgen und die Wiederholbarkeit und Zusammenarbeit verbessern. DevSecOps kann Sie konkret bei Folgendem unterstützen:

• Mehr Sicherheit und weniger Risiken durch frühzeitiges Entfernen von Sicherheitslücken im Anwendungsentwicklungs- und Infrastruktur-Lifecycle, was potenzielle Produktionsprobleme reduzieren kann.
• Erhöhte Effizienz und Geschwindigkeit von DevOps-Release-Zyklen durch das Entfernen von veralteten Sicherheitspraktiken und -tools – mithilfe von Automatisierung, Standardisierung auf eine Toolchain und Implementierung von IaC (Infrastructure as Code), SaC (Security as Code) und CaC (Compliance as Code), was durch Wiederholbarkeit und Konsistenz für einen besseren Entwicklungsprozess sorgt.
• Gemindertes Risiko und erhöhte Transparenz durch frühzeitiges Implementieren von Sicherheits-Gates im Anwendungsentwicklungs- und Infrastruktur-Lifecycle zur Reduzierung menschlicher Fehler und zur Verbesserung der Sicherheit, Compliance, Vorhersagbarkeit und Wiederholbarkeit bei gleichzeitiger Vereinfachung von Audits.

Eine erfolgreiche Implementierung von DevSecOps fängt schon vor der Anwendungs-Pipeline an. Organisationen müssen zunächst sicherstellen, dass ihre Anwendungen und Infrastrukturkomponenten auf Software ausgeführt werden, die über integrierte Sicherheitstools und -funktionen verfügt. Zusätzlich sollten sie eine konsistente Automatisierungsstrategie in der gesamten Organisation implementieren, um mehr Kontrolle über ihre Umgebungen zu erhalten, was ein wichtiges Element des DevSecOps-Prozesses darstellt.

Mithilfe von Automatisierung können sie sicherheitsorientierte Anwendungen entwickeln und DevSecOps-Praktiken frühzeitig im Entwicklungs- und Infrastruktur-Lifecycle integrieren.

Die meisten Unternehmen konzentrieren sich bei der Implementierung von DevSecOps auf die Anwendungs-Pipeline. Es gibt aber noch andere Bereiche, die es zu beachten gilt. Red Hat und unser Netzwerk aus Sicherheitspartnern kann diesen Unternehmen dabei helfen, sicherheitsorientierte Anwendungen mithilfe von DevSecOps-Praktiken zu entwerfen, zu entwickeln, bereitzustellen und auszuführen – und zwar sowohl in traditionellen als auch in containerisierten Umgebungen.

Wir unterstützen Kunden unabhängig davon, in welcher Phase der DevSecOps-Einführung sie sich befinden. Mit dem unten gezeigten Modell zum DevSecOps-Reifegrad können Kunden genauer beurteilen, in welcher Phase sie sich gerade befinden:

• Einsteiger: Alles wird manuell durchgeführt, von der Entwicklung bis zum Deployment von Anwendungen. Anwendungsentwicklungs-, Infrastruktur-, IT-Operations- und Sicherheitsteams arbeiten hauptsächlich isoliert voneinander, statt die Vorteile teamübergreifender Zusammenarbeit zu nutzen.
• Nutzer ohne umfassende Erfahrung: Durch die Standardisierung auf eine Toolchain können Prozesse wie IaC (Infrastructure as Code), SaC (Security as Code) und CaC (Compliance as Code) mithilfe von Automatisierung im gesamten Unternehmen konsistent ausgeführt werden.
• Fortgeschrittene: Infrastruktur und Anwendungsentwicklung sind bereits automatisiert, und das Unternehmen versucht nun, seine Prozesse zu verbessern, wie etwa Entwicklungsprozesse, die Skalierung vorhandener Automatisierungen und die Implementierung von DevSecOps in großem Umfang mithilfe von Technologien wie Container, Kubernetes und Public Cloud Services. Das Unternehmen entwickelt Anwendungen in großem Umfang in einer dynamischen Umgebung für die kontinuierliche Softwarebereitstellung und nutzt dabei fortschrittliche Deployment-Techniken, Self-Service und Autoscaling.
• Experten: Das Unternehmen hat den Punkt erreicht, bei dem alles in einer cloudnativen Umgebung nach einem API-First-Ansatz (Application Programming Interface) erfolgt. Dabei werden Technologiemodelle wie Serverless und Microservices in Erwägung gezogen oder verwendet und die Vorteile von künstlicher Intelligenz und maschinellem Lernen genutzt, um Entscheidungen über Sicherheitstests und die Anwendungsentwicklung zu treffen.

Die in unser Open Source-Portfolio integrierten Sicherheitsfunktionen erleichtern es Entwicklungs-, Architektur-, IT-Operations- und Sicherheitsteams, mehrschichtige Sicherheitsmaßnahmen für DevSecOps frühzeitig im Anwendungsentwicklungs- und Infrastruktur-Lifecycle sowie im gesamten Stack zu implementieren. Im Folgenden zeigen wir Ihnen einige Optionen, mit denen wir dies möglich machen.

Grundlegende Sicherheit für DevSecOps

Wir sorgen mit Red Hat Enterprise Linux® (RHEL) für grundlegende Sicherheit, damit Unternehmen vorhandene und cloudnative Anwendungen konsistent in allen virtuellen, Bare Metal-, Container- und Cloud-Umgebungen ausführen können. RHEL bietet für die Sicherheit wichtige Isolierungstechnologien, starke Verschlüsselung, Identitäts- und Zugriffsmanagement, Sicherheit für die Softwarelieferkette und von unabhängiger Stelle validierte Sicherheitszertifizierungen, die für DevSecOps-Workflows erforderlich sind.

Open Source-Technologien, die auf RHEL aufsetzen – wie etwa Red Hat OpenShift®, Red Hat OpenStack® Platform und Red Hat Data Services – verfügen automatisch über alle Sicherheitsvorteile, die RHEL bietet.

Standardisierung von Workflows und Prozessen durch IT-Automatisierung

Inkompatible DevSecOps-Tools, -Praktiken und -Prozesse können die Zusammenarbeit, Transparenz und Produktivität beeinträchtigen und gleichzeitig die Möglichkeit für menschliche Fehler erhöhen. Die Automatisierung von Lifecycle-Operationen bietet eine ideale Gelegenheit, konsistente, wiederholbare Prozesse, Workflows und Frameworks zu erstellen, die die Interaktion zwischen den Softwareentwicklungs-, IT-Infrastruktur- und Sicherheitsteams vereinfachen.

Mit einer einzigen, von Menschen lesbaren Sprache bietet Red Hat Ansible® Automation Platform die Tools, Services und Trainings, die Sie benötigen, um unternehmensweite Automatisierung zu implementieren. Es bietet eine einheitliche, benutzerfreundliche Automatisierungsbasis. Diese fördert die Zusammenarbeit, Transparenz und Konsistenz in den verschiedenen Bereichen der IT-Umgebung – von den Anwendungen und der Sicherheit bis hin zu den Netzwerken und der Infrastruktur von Unternehmen.

DevSecOps in großem Umfang –mit Containern, Kubernetes und Anwendungsservices

Mit OpenShift können Unternehmen sicherheitsorientierte, cloudnative Anwendungen in großem Umfang entwickeln, bereitstellen, ausführen und verwalten. Das trifft insbesondere auf OpenShift Platform Plus zu, das auf der Kernplattform basiert und Red Hat Advanced Cluster Security for Kubernetes, Red Hat Advanced Cluster Management for Kubernetes und Red Hat Quay umfasst.

Mit diesen Technologien können Unternehmen Sicherheitsprüfungen in ihre CI/CD-Pipelines (Continuous Integration/Continuous Delivery) integrieren, um Entwicklerinnen und Entwicklern automatisierte Rahmenbedingungen in vorhandenen Workflows zu geben, ihre Workloads und Kubernetes-Infrastruktur vor Fehlkonfigurationen und Compliance-Verstößen zu schützen und die Erkennung von und Reaktion auf Bedrohungen der Runtime zu implementieren.

Red Hat Advanced Cluster Security for Kubernetes hilft Ihnen dabei, containerisierte Workloads und Kubernetes in den meisten bekannten Clouds und hybriden Plattformen zu schützen. Die Plattform kann als eine vollständig gemanagte SaaS-Lösung (Software-as-a-Service) bereitgestellt werden. Sie unterstützt Sie dabei, Bedrohungen zu reduzieren, ermöglicht konstantes Scannen und Überprüfen und schützt die Kubernetes-Infrastruktur. Red Hat Advanced Cluster Security for Kubernetes ist in Red Hat® OpenShift® Platform Plus enthalten, einem Komplettpaket mit leistungsstarken, optimierten Tools zum Sichern, Schützen und Verwalten Ihrer Anwendungen.

Grundlage von OpenShift Platform Plus ist die Automatisierung der Sicherheit und Operationen des vollständigen Stacks, was ein konsistentes Erlebnis in vielen verschiedenen Umgebungen ermöglicht. Diese Optimierung kann die Produktivität Ihrer Entwicklungsteams erhöhen und Ihre Entwicklungsprozesse verbessern. Gleichzeitig wird die Sicherheitsorientierung und Compliance Ihrer gesamten Softwarelieferkette sichergestellt. Mit OpenShift Platform Plus können Sie die Zusammenarbeit von Operations-, Entwicklungs- und Sicherheitsteams verbessern und Ideen von der Entwicklung zur Produktion bringen – für eine moderne cloudnative Anwendungsentwicklung.

Die Builds und Pipelines von Red Hat OpenShift sowie GitOps (in OpenShift enthalten) stellen dabei die Komponenten zur Verfügung, die zur Ausführung von Quellcode-Builds und Anwendungspaketen auf OpenShift notwendig sind. Hinzu kommt ein flexibles Framework zur Integration von sicherheitsbezogenen Aufgaben in die CI/CD-Pipeline.

Red Hat Application Services bietet zahlreiche, sofort einsatzbereite Sicherheitsfunktionen für Ihre Anwendungen, darunter branchenübliche Protokolle (wie OAuth/OpenID, JWT Tokens), Single Sign-On (SSO) und Identitätsverwaltung, Role-based Access Control (RBAC), Cluster-Authentifizierung und Verschlüsselung im Cluster. 

Unser Netzwerk aus Sicherheitspartnern unterstützt Kunden dabei, ihre Möglichkeiten zur Sicherung von Anwendungen und Infrastruktur mithilfe von DevSecOps-Praktiken zu erweitern und zu verbessern. Durch die Kombination aus unseren Produkten und Services mit diesem Partnernetzwerk können Kunden wichtige Sicherheitsherausforderungen angehen, darunter:

• Compliance und Governance
• Identitäts- und Zugriffsmanagement
• Schwachstellen- und Konfigurationsmanagement
• Plattformsicherheit
• Netzwerkkontrollen
• Datenkontrollen
• Sicherheitskontrollen
• Runtime-Analyse und -Schutz
• Protokollierung und Monitoring
• Problembehebung

Mit Red Hat Services können Sie Ihre Technologieinvestitionen in messbare und sinnvolle geschäftliche Ergebnisse verwandeln. Von der Unternehmenskultur über Geschäftsprozesse bis hin zu Training und Zertifizierung – wir können Sie beim Einstieg in DevSecOps unterstützen.