In Sachen Sicherheit ist kein Platz für Silos

Es begann mit DevOps. Dann gab es NetOps. Jetzt SecOps. Oder ist es DevSecOps? Oder vielleicht SecDevOps?

Wie auch immer Sie es nennen, das Endergebnis ist allzu oft nicht viel mehr als dieselben alten Silos mit glänzenden neuen Namen. Wir konzentrieren uns so sehr auf die Frage „Wie nennen wir diese Leute?“, dass wir manchmal vergessen, „was wir eigentlich erreichen wollen“.

Der große Barde sagte dies erstmals in seinem Kommentar über eine Rose: Sie würde unter jedem anderen Namen genauso süß duften. Wenden wir das heute auf die wachsende Zahl von Fraktionen im Operationsspiel an. Eine Namensänderung bringt nichts, wenn Sie nicht auch Ihre grundlegenden Verhaltensweisen und Praktiken ändern.

Als die Cloud zum ersten Mal aufkam (Wortspiel beabsichtigt), gab es viele Experten, die die Bemühungen der Unternehmen, eine private (lokale) Cloud aufzubauen, ablehnten. Weil es nicht genau der Definition entsprach, die sie mit der Cloud verbinden wollten. Sie ignorierten, dass der Erfolg am Ergebnis und nicht an der pedantischen Definition eines anderen gemessen wurde. Sie strebten nach Agilität, Effizienz und Geschwindigkeit, indem sie die Art und Weise änderten, wie Infrastruktur bereitgestellt, konfiguriert und verwaltet wurde. Sie haben Verhaltensweisen und Praktiken durch den Einsatz von Technologie verändert.

Heute konzentrieren sich die Terminologiekriege auf X-Ops und den neuesten Fortschritt, den wir als Sicherheit bezeichnen sollten.

Ich weiß, dass ich die Begriffe verwendet habe, und manchmal verwende ich sie alle gleichzeitig. Aber vielleicht brauchen wir weniger Unterscheidungen. Vielleicht sollte ich einfach sagen, dass Sie hinsichtlich Verhalten und Vorgehensweisen entweder „moderne Operationen“ übernehmen oder bei „traditionellen Operationen“ bleiben, und das ist alles.

Moderne Betriebsabläufe nutzen Technologien wie Cloud und Automatisierung, um Pipelines aufzubauen, die Prozesse kodifizieren und so die Bereitstellung und Implementierung von Applications beschleunigen.

Und sie tun dies, indem sie ihr Verhalten und ihre Vorgehensweisen ändern. Sie sind kooperativ und kommunikativ. Sie nutzen Technologie, um jahrzehntealte Prozesse zu modernisieren und zu optimieren, die die Lieferung und Bereitstellung behindern. Sie arbeiten zusammen, nicht in isolierten X-Ops-Teams, um ihr Ziel schnellerer und häufigerer Veröffentlichungen zu erreichen, die einen Mehrwert für das Unternehmen schaffen und die Verbraucher begeistern.

Sich bei der Einführung moderner Verfahren auf die Definition von „Sicherheit“ zu konzentrieren, kann der Grundannahme abträglich sein, dass eine schnelle Bereitstellung und Implementierung nur mit einem kollaborativen Ansatz möglich ist. Einem neuen, fokussierten Team neue Etiketten zu verpassen, führt lediglich dazu, dass weitere Silos entstehen. Es zerstört diese jedoch nicht und öffnet auch nicht die Kommunikationskanäle, die erforderlich sind, um schnell und in großem Maßstab arbeiten zu können.

Darüber hinaus wird dadurch unbeabsichtigt anderen, nicht sicherheitsbezogenen Mitarbeitern die Möglichkeit gegeben, die Sicherheitsverantwortung an das <SecDevOps | DevSecOps>-Team abzugeben. Weil es in ihrem Namen steht, oder?

Das ist eine zunehmend schlechte Idee, wenn man bedenkt, dass Application ein Stapel ist und daher ein vollständiger Stapel erforderlich ist, um die richtigen Schutzmaßnahmen zu implementieren.  Sie benötigen Netzwerksicherheit und Transportsicherheit und auf jeden Fall auch Application . Die Angriffsfläche einer App umfasst alle sieben Ebenen und zunehmend auch den Stapel, der ihre Betriebsumgebung umfasst. Wenn es um Sicherheit geht, ist kein Platz für Silos.

Bei der digitale Transformation sollte sich die IT auf die Modernisierung der Betriebsabläufe konzentrieren – von der Technologie bis hin zu den Teams, die sie nutzen, um Innovationen zu schaffen und Mehrwert für das Unternehmen zu schaffen. Moderne Ops sind nicht von der Jagd nach Titeln besessen, sie sind leidenschaftlich daran interessiert, Ergebnisse zu erzielen. Moderne Ops arbeiten zusammen, kommunizieren frei und kooperieren interessenübergreifend, um eine effiziente, anpassungsfähige Liefer- und Bereitstellungspipeline aufzubauen.

Dazu ist das Zusammenspiel von Fachwissen in den Bereichen Netzwerk, Sicherheit, Infrastruktur, Speicherung und Entwicklung erforderlich.

Im Netzwerk verwenden wir Labels, um den Datenverkehr zu kennzeichnen und Richtlinien anzuwenden, die steuern, welche Geräte mit welcher Infrastruktur und welchen Applications kommunizieren können. In Containerclustern verwenden wir Labels zum Isolieren und Einschränken, zum Beschränken und Verbieten.

Etiketten in Organisationen können die gleiche Wirkung haben.

Vielleicht wäre es besser, wenn wir einfach sagen würden, ob Sie zum modernen oder zum traditionellen Operationsdienst gehören. Und dass sich einige in einem Übergangszustand zwischen beidem befinden. Wir sollten nicht länger so viele Gedanken darauf verschwenden, wie wir einander nennen sollen, und dadurch die Chance verpassen, eine kollaborative Umgebung zu schaffen, in der Apps schneller, häufiger und vor allem sicherer bereitgestellt und eingesetzt werden können.