Die Application verlagert sich nach links. Infolgedessen tragen DevOps-Teams zunehmend die Verantwortung für die Sicherheit. Dank ihrer Expertise in Bezug auf Entwicklungslebenszyklusprozesse können DevOps-Teams zwar Sicherheitsanforderungen bereits früh im Softwarelebenszyklus effektiv einführen, doch verfügen diese Teams möglicherweise nicht über die Ressourcen, um Bedrohungen vorherzusehen, oder über ausreichend Fachwissen, um die verschiedenen Sicherheitslösungen und -richtlinien zu implementieren, die zum Schutz moderner Applications erforderlich sind.
Native Cloud-Sicherheitsdienste bieten DevOps- und Geschäftseinheitsentwicklern plattformspezifische Optionen, die für viele Application gut geeignet sind. Da Unternehmen jedoch zunehmend Multi-Cloud-Lösungen einsetzen, übersteigen die Kosten dieser nativen Dienste allmählich die Vorteile. Während auf einer einzigen Cloud-Plattform einige wenige Sicherheitsdienste ausreichten, sind heute viele Sicherheitsdienste erforderlich, um auf zwei oder mehr Cloud-Plattformen den gleichen Schutz zu bieten. Jede Plattform hat ihre eigenen Anforderungen an die Identitätsverwaltung, Sicherheitsrichtlinien, APIs und Verwaltungsverfahren, was die Gesamteffizienz verringert. Die Steigerung der Betriebseffizienz und Sicherheit hat bei Initiativen zur digitale Transformation und den Zielen der Unternehmensführung höchste Priorität.
Die mit nativen Sicherheitsdiensten verbundene Komplexität der Implementierung und Verwaltung ist die erste wesentliche Quelle betrieblicher Ineffizienz. Die mit der Verwaltung aller Komponenten mehrerer nativer Sicherheitsdienste verbundenen Schwierigkeiten können schwerwiegende negative Folgen für ein Unternehmen haben. Sicherheitslücken bei Fehlkonfigurationen wurden bei 66 % der Angriffe ausgenutzt (entweder indem die Angreifer eine Schwachstelle in der Web Application Firewall ausnutzten, um auf Kontoanmeldeinformationen zuzugreifen, oder indem die Angreifer eine falsch konfigurierte Ressource ausnutzten). Die Aufgabe von DevOps-Ingenieuren besteht darin, die schnellstmögliche Markteinführungszeit zu ermitteln. Durch die Reduzierung des mit der Pflege und dem Verständnis der Sicherheitsrichtlinien mehrerer Cloud-Anbieter verbundenen Aufwands können DevOps-Teams ihre Aufmerksamkeit und Ressourcen besser auf dieses Ziel konzentrieren.
Durch die Umstellung auf einen Drittanbieter, der eine konsistente Sicherheitsrichtlinie für alle Applications in einer Multi-Cloud-Umgebung implementieren kann, lässt sich der Aufwand für die Sicherheitsimplementierung, der den DevOps-Teams zufällt, erheblich reduzieren. Durch die Verwendung dieser Art von Dienst kann die Häufigkeit verringert werden, mit der Sicherheitsfehlkonfigurationen in Produktionsumgebungen übertragen werden. Es vereinfacht die Integration von Richtlinien und Konfigurationen in CI/CD-Pipelines, indem es DevOps-Teams eine Reihe von Automatisierungstools zur Verfügung stellt, die zur Standardisierung verwendet werden können, was wiederum die Integration von Sicherheitsdiensten in vorhandene Toolchains zur Unternehmensautomatisierung ermöglicht.
Eine unzureichende Transparenz der Sicherheit der Cloud-Infrastruktur ist eine weitere Ursache für eine verringerte Betriebseffizienz, die mit der Verwendung nativer Sicherheitsdienste einhergeht. Obwohl Unternehmen bei der Verwendung nativer Dienste von einer schnelleren Bereitstellung profitieren, geben 36 % der Umfrageteilnehmer zu, dass diese nativen Dienste keine ausreichende Transparenz in die Cloud-Sicherheitsinfrastruktur bieten . Während DevOps-Teams zunehmend die Bereitstellung und Verwaltung der Application übernehmen, fallen die Überwachung und Berichterstattung der Unternehmenssicherheit weiterhin in die Zuständigkeit von SecOps. Verteilte und native Cloud-Sicherheitsdienste bedeuten, dass Sicherheitsberichte und -analysen standardmäßig ebenfalls verteilt und Cloud-spezifisch erfolgen. Die verteilte Natur der Analysen verschleiert die Sicherheitslandschaft des gesamten Systems. Infolgedessen können SecOps-Teams möglicherweise nur geben isolierte, anbieterspezifische Empfehlungen. Durch die Verwendung gemeinsamer Sicherheitsdienste, die über einen standardisierten Multi-Cloud-Sicherheitsanbieter implementiert werden, wird sichergestellt, dass für alle Applications dieselben Sicherheitsrichtlinien gelten. Dadurch kann SecOps auf Grundlage gemeinsamer Sicherheitsanalysen Empfehlungen abgeben, die dem gesamten System zugute kommen.
Die Notwendigkeit, eine Multi-Cloud Sicherheitsstrategie zu implementieren, die die Compliance über verschiedene Cloud-Anbieter hinweg gewährleistet, ist eine weitere Quelle betrieblicher Ineffizienz bei nativen Sicherheitsdiensten. DevOps-Teams müssen sowohl interne als auch branchenspezifische Sicherheitsanforderungen erfüllen. In der Vergangenheit haben zentralisierte InfoSec-Teams dabei geholfen, Sicherheitskontrollen für alle Applications einzurichten und zu prüfen, insbesondere in Organisationen wie dem Gesundheits- und Finanzdienstleistungssektor, die mit sensiblen oder geschützten persönlichen Daten arbeiten. Mit der Linksverschiebung in der Application ist DevOps nun ebenso für die Einhaltung der Unternehmenssicherheitsanforderungen verantwortlich wie SecOps. Es ist schwierig, die Sicherheitsanforderungen eines Unternehmens aufrechtzuerhalten, wenn die nativen Sicherheitsrichtlinien nur für einen bestimmten Cloud-Anbieter gelten (unabhängig davon, ob es sich bei diesem Anbieter um AWS, Azure oder Google Cloud handelt). Darüber hinaus wird die Effizienz von Audits beeinträchtigt. Durch die Bereitstellung allgemeiner Multi-Cloud-Sicherheitsrichtlinien verringert sich der Zeitaufwand für die Prüfung von Sicherheitskonfigurationen. Durch die Einbeziehung von Sichtbarkeitslösungen kann ein Unternehmen eine zentrale Anlaufstelle schaffen, die die Komplexität von Compliance-Tests verringert und die teamübergreifende Zusammenarbeit verbessert.
Änderungen in den Konventionen der Application haben die sicherheitsrelevanten Verantwortlichkeiten erhöht, die in den Zuständigkeitsbereich von DevOps fallen. Daher ist es genauer, diese Teams als DevSecOps zu bezeichnen und sie als Teil des SecOps-Sicherheitsbetriebsmodells anzuerkennen. Die fortgesetzte Verwendung nativer, anbieterspezifischer Sicherheitsrichtlinien führt zu einem erheblichen Verwaltungsaufwand und macht einen Großteil der Vorteile des DevOps-Modells zunichte. Durch die Standardisierung einer Multi-Cloud-Sicherheitslösung für Unternehmen wird die Betriebseffizienz gesteigert und es entstehen Möglichkeiten zur Vernetzung mit neuen strategischen Sicherheitspartnern. Dadurch verringert sich das Risiko eines Verlusts der Betriebseffizienz beim Wechsel in eine Multi-Cloud-Umgebung.