Sicherheit darf kein nachträglicher Schritt sein. In einer Welt, in der Software in rasanter Geschwindigkeit entwickelt und deployed wird, müssen Sicherheitsmaßnahmen von Anfang an mitgedacht werden. Das ist die Grundidee von DevSecOps: Entwicklung, Betrieb und Sicherheit werden nahtlos miteinander verbunden.
Sicherheit beginnt beim ersten Commit
Schon beim Schreiben des Codes müssen Entwickler unterstützt werden, Fehler zu vermeiden. Tools wie SonarQube analysieren den Code direkt nach dem Commit im Repository. Sie erkennen nicht nur unsauberen Code, sondern auch unsichere Bibliotheken, bekannte Schwachstellen (CVEs) oder Verstöße gegen definierte Sicherheitsrichtlinien.
Dieser sogenannte „Static Code Analysis“ ist der erste Schritt, um Risiken frühzeitig zu erkennen. Wir bei CCSolutions.io helfen Unternehmen dabei, diese Checks in bestehende Prozesse zu integrieren.
CI/CD Pipelines als Sicherheitsfilter
Sobald aus dem Code ein lauffähiger Container wird, greifen weitere Sicherheitschecks. In der CI/CD Pipeline werden z. B. folgende Punkte überprüft:
- Gibt es bekannte Schwachstellen in den Container-Images?
- Werden nur zertifizierte Basis-Images verwendet?
- Entspricht das Image den unternehmensweiten Richtlinien?
Diese Überprüfungen passieren vollautomatisch, bevor ein Deployment erfolgt. So wird verhindert, dass unsichere Anwendungen in den Produktivbetrieb gelangen.
Was, wenn doch etwas passiert? Runtime Security mit Falco
Trotz aller Vorsichtsmaßnahmen kann es vorkommen, dass sich ein Problem erst zur Laufzeit zeigt. Genau hier kommt Falco ins Spiel. Falco ist ein Open-Source-Tool, das das Laufzeitverhalten von Containern beobachtet. Es erkennt z. B.:
- Unerwartete Netzwerkverbindungen
- Dateizugriffe außerhalb definierter Verzeichnisse
- Prozesse, die nicht gestartet werden dürfen
Beim Bundesamt für Sozialversicherung haben wir Falco in einem Nomad-Cluster (eine Kubernetes-Alternative von HashiCorp) eingesetzt, um verdächtiges Verhalten in Echtzeit zu erkennen. Bei Anomalien wird sofort Alarm geschlagen – oder sogar automatisch eingegriffen.
Sichere Kommunikation durch Service Meshes
Ein weiterer Baustein moderner Sicherheit ist die Absicherung der Kommunikation zwischen Microservices. Mit Tools wie Istio oder Linkerd wird die Kommunikation verschlüsselt (mTLS) und autorisiert. So kann sichergestellt werden, dass nur berechtigte Services miteinander sprechen.
Bei Unternehmen wie Prodata oder Asa haben wir ein Istio-basiertes Service Mesh als Proof-of-Concept eingeführt, um die interne Kommunikation abzusichern und transparenter zu gestalten. Auch die automatische Zertifikatsverwaltung übernehmen wir.
Darüber hinaus unterstützen wir namhafte Lebensmittelhändler bei der Einführung und dem Betrieb von Istio, inklusive mTLS Strict Authorization sowie dem sicheren Upgrade und der Wartung bestehender Mesh-Setups.
Fazit: Sicherheit als Prozess, nicht als Produkt
DevSecOps und Runtime Security sind keine Tools, die man einmal installiert. Es sind Prozesse, die mit der Organisation wachsen. Wer Security frühzeitig in die Entwicklung einbettet und zur Laufzeit überwacht, schafft nicht nur sichere, sondern auch zukunftsfähige Systeme. Wir von CCSolutions.io unterstützen Unternehmen dabei, diese Prinzipien nicht nur zu verstehen, sondern praxisnah umzusetzen.
