Warum Red Hat für DevSecOps?

Viele Unternehmen konzentrieren sich bei der Implementierung von DevSecOps nur auf die Anwendungs-Pipeline. Es gibt aber noch andere Bereiche, die es zu beachten gilt. Bei den DevSecOps-Lösungen von Red Hat® geht es nicht nur darum, Unternehmen bei ihrer Anwendungs-Pipeline in containerisierten Umgebungen zu unterstützen. Es geht auch darum, ihnen beim Entwickeln, Bereitstellen und Ausführen von Anwendungen mithilfe von DevSecOps-Praktiken zu helfen – und zwar sowohl in traditionellen als auch in containerisierten Umgebungen, um Sicherheitsprobleme und Schwachstellen schon früh im Anwendungs- und Infrastruktur-Lifecycle angehen zu können.

Zusammen mit einem Netzwerk aus Sicherheitspartnern bietet Red Hat einen DevSecOps-Ansatz, mit dem Unternehmen weiter Innovationen schaffen können, ohne dabei die Sicherheit zu gefährden. Mit unserer Expertise und Kompetenz liefern wir ein robustes Portfolio, mit dem Unternehmen sicherheitsorientierte Anwendungen ortsunabhängig in ihrer Open Hybrid Cloud entwickeln, bereitstellen und ausführen können – egal in welcher Phase der DevSecOps-Einführung sie sich befinden.

DevSecOps ist ein komplexes Unterfangen, insbesondere weil sich die DevOps-Tools – und der DevOps-Prozess allgemein – kontinuierlich weiterentwickeln und ändern. Dazu kommen weitere Maßnahmen für die Softwaresicherheit sowie Technologien, die den Einsatz von DevSecOps nicht nur generell, sondern zur Entwicklung moderner Anwendungen auch in großem Umfang ermöglichen – mithilfe von Technologien wie Containern, Kubernetes und Public Cloud-Services.

Entwicklungs- und Operations-Teams müssen dafür sorgen, dass die Informationssicherheit – einschließlich der Sicherheit von Kubernetes und Containern – von Anfang an integraler Bestandteil des Anwendungs- und Infrastruktur-Lifecycles ist. Damit fällt es diesen Beschäftigten zu, die wichtige IT-Infrastruktur zu schützen, sicherheitsorientierte Anwendungen zu entwickeln und auszuführen, für die Sicherheit sensibler Daten zu sorgen und mit dem Wandel Schritt zu halten.

DevSecOps hilft den IT- und Sicherheitsteams dabei, Sicherheitsprobleme anzugehen – egal, ob es um Personal, Prozesse oder Technologien geht. Dadurch können sie das Tempo und die Effizienz in ihrem Unternehmen erhöhen, für mehr Sicherheit und Konsistenz sorgen und die Wiederholbarkeit und Zusammenarbeit verbessern. DevSecOps kann Sie konkret bei Folgendem unterstützen:

• Mehr Sicherheit und weniger Risiken durch frühzeitiges Entfernen von Sicherheitslücken im Anwendungsentwicklungs- und Infrastruktur-Lifecycle, was potenzielle Produktionsprobleme reduzieren kann.
• Erhöhte Effizienz und Geschwindigkeit von DevOps-Release-Zyklen durch das Entfernen von veralteten Sicherheitspraktiken und -tools – mithilfe von Automatisierung, Standardisierung auf eine Toolchain und Implementierung von IaC (Infrastructure as Code), SaC (Security as Code) und CaC (Compliance as Code), was durch Wiederholbarkeit und Konsistenz für einen besseren Entwicklungsprozess sorgt.
• Gemindertes Risiko und erhöhte Transparenz durch frühzeitiges Implementieren von Sicherheits-Gates im Anwendungsentwicklungs- und Infrastruktur-Lifecycle zur Reduzierung menschlicher Fehler und zur Verbesserung der Sicherheit, Compliance, Vorhersagbarkeit und Wiederholbarkeit bei gleichzeitiger Vereinfachung von Audits.

Eine erfolgreiche Implementierung von DevSecOps fängt schon vor der Anwendungs-Pipeline an. Organisationen müssen zunächst sicherstellen, dass ihre Anwendungen und Infrastrukturkomponenten auf Software ausgeführt werden, die über integrierte Sicherheitstools und -funktionen verfügt. Zusätzlich sollten sie eine konsistente Automatisierungsstrategie in der gesamten Organisation implementieren, um mehr Kontrolle über ihre Umgebungen zu erhalten, was ein wichtiges Element des DevSecOps-Prozesses darstellt.

Mithilfe von Automatisierung können sie sicherheitsorientierte Anwendungen entwickeln und DevSecOps-Praktiken frühzeitig im Entwicklungs- und Infrastruktur-Lifecycle integrieren.

Die meisten Unternehmen konzentrieren sich bei der Implementierung von DevSecOps auf die Anwendungs-Pipeline. Es gibt aber noch andere Bereiche, die es zu beachten gilt. Red Hat und unser Netzwerk aus Sicherheitspartnern kann diesen Unternehmen dabei helfen, sicherheitsorientierte Anwendungen mithilfe von DevSecOps-Praktiken zu entwerfen, zu entwickeln, bereitzustellen und auszuführen – und zwar sowohl in traditionellen als auch in containerisierten Umgebungen.

Wir unterstützen Kunden unabhängig davon, in welcher Phase der DevSecOps-Einführung sie sich befinden. Mit dem unten gezeigten Modell zum DevSecOps-Reifegrad können Kunden genauer beurteilen, in welcher Phase sie sich gerade befinden:

• Einsteiger: Alles wird manuell durchgeführt, von der Entwicklung bis zum Deployment von Anwendungen. Anwendungsentwicklungs-, Infrastruktur-, IT-Operations- und Sicherheitsteams arbeiten hauptsächlich isoliert voneinander, statt die Vorteile teamübergreifender Zusammenarbeit zu nutzen.
• Nutzer ohne umfassende Erfahrung: Durch die Standardisierung auf eine Toolchain können Prozesse wie IaC (Infrastructure as Code), SaC (Security as Code) und CaC (Compliance as Code) mithilfe von Automatisierung im gesamten Unternehmen konsistent ausgeführt werden.
• Fortgeschrittene: Infrastruktur und Anwendungsentwicklung sind bereits automatisiert, und das Unternehmen versucht nun, seine Prozesse zu verbessern, wie etwa Entwicklungsprozesse, die Skalierung vorhandener Automatisierungen und die Implementierung von DevSecOps in großem Umfang mithilfe von Technologien wie Container, Kubernetes und Public Cloud Services. Das Unternehmen entwickelt Anwendungen in großem Umfang in einer dynamischen Umgebung für die kontinuierliche Softwarebereitstellung und nutzt dabei fortschrittliche Deployment-Techniken, Self-Service und Autoscaling.
• Experten: Das Unternehmen hat den Punkt erreicht, bei dem alles in einer cloudnativen Umgebung nach einem API-First-Ansatz (Application Programming Interface) erfolgt. Dabei werden Technologiemodelle wie Serverless und Microservices in Erwägung gezogen oder verwendet und die Vorteile von künstlicher Intelligenz und maschinellem Lernen genutzt, um Entscheidungen über Sicherheitstests und die Anwendungsentwicklung zu treffen.

Die in unser Open Source-Portfolio integrierten Sicherheitsfunktionen erleichtern es Entwicklungs-, Architektur-, IT-Operations- und Sicherheitsteams, mehrschichtige Sicherheitsmaßnahmen für DevSecOps frühzeitig im Anwendungsentwicklungs- und Infrastruktur-Lifecycle sowie im gesamten Stack zu implementieren. Im Folgenden zeigen wir Ihnen einige Optionen, mit denen wir dies möglich machen.

Grundlegende Sicherheit für DevSecOps

Wir sorgen mit Red Hat Enterprise Linux® (RHEL) für grundlegende Sicherheit, damit Unternehmen vorhandene und cloudnative Anwendungen konsistent in allen virtuellen, Bare Metal-, Container- und Cloud-Umgebungen ausführen können. RHEL bietet für die Sicherheit wichtige Isolierungstechnologien, starke Verschlüsselung, Identitäts- und Zugriffsmanagement, Sicherheit für die Softwarelieferkette und von unabhängiger Stelle validierte Sicherheitszertifizierungen, die für DevSecOps-Workflows erforderlich sind.

Open Source-Technologien, die auf RHEL aufsetzen – wie etwa Red Hat OpenShift®, Red Hat OpenStack® Platform und Red Hat Data Services – verfügen automatisch über alle Sicherheitsvorteile, die RHEL bietet.

Standardisierung von Workflows und Prozessen durch IT-Automatisierung

Inkompatible DevSecOps-Tools, -Praktiken und -Prozesse können die Zusammenarbeit, Transparenz und Produktivität beeinträchtigen und gleichzeitig die Möglichkeit für menschliche Fehler erhöhen. Die Automatisierung von Lifecycle-Operationen bietet eine ideale Gelegenheit, konsistente, wiederholbare Prozesse, Workflows und Frameworks zu erstellen, die die Interaktion zwischen den Softwareentwicklungs-, IT-Infrastruktur- und Sicherheitsteams vereinfachen.

Mit einer einzigen, von Menschen lesbaren Sprache bietet Red Hat Ansible® Automation Platform die Tools, Services und Trainings, die Sie benötigen, um unternehmensweite Automatisierung zu implementieren. Es bietet eine einheitliche, benutzerfreundliche Automatisierungsbasis. Diese fördert die Zusammenarbeit, Transparenz und Konsistenz in den verschiedenen Bereichen der IT-Umgebung – von den Anwendungen und der Sicherheit bis hin zu den Netzwerken und der Infrastruktur von Unternehmen.

DevSecOps in großem Umfang –mit Containern, Kubernetes und Anwendungsservices

Mit OpenShift können Unternehmen sicherheitsorientierte, cloudnative Anwendungen in großem Umfang entwickeln, bereitstellen, ausführen und verwalten. Das trifft insbesondere auf OpenShift Platform Plus zu, das auf der Kernplattform basiert und Red Hat Advanced Cluster Security for Kubernetes, Red Hat Advanced Cluster Management for Kubernetes und Red Hat Quay umfasst.

Mit diesen Technologien können Unternehmen Sicherheitsprüfungen in ihre CI/CD-Pipelines (Continuous Integration/Continuous Delivery) integrieren, um Entwicklerinnen und Entwicklern automatisierte Rahmenbedingungen in vorhandenen Workflows zu geben, ihre Workloads und Kubernetes-Infrastruktur vor Fehlkonfigurationen und Compliance-Verstößen zu schützen und die Erkennung von und Reaktion auf Bedrohungen der Runtime zu implementieren.

Red Hat Advanced Cluster Security for Kubernetes hilft Ihnen dabei, containerisierte Workloads und Kubernetes in den meisten bekannten Clouds und hybriden Plattformen zu schützen. Die Plattform kann als eine vollständig gemanagte SaaS-Lösung (Software-as-a-Service) bereitgestellt werden. Sie unterstützt Sie dabei, Bedrohungen zu reduzieren, ermöglicht konstantes Scannen und Überprüfen und schützt die Kubernetes-Infrastruktur. Red Hat Advanced Cluster Security for Kubernetes ist in Red Hat® OpenShift® Platform Plus enthalten, einem Komplettpaket mit leistungsstarken, optimierten Tools zum Sichern, Schützen und Verwalten Ihrer Anwendungen.

Grundlage von OpenShift Platform Plus ist die Automatisierung der Sicherheit und Operationen des vollständigen Stacks, was ein konsistentes Erlebnis in vielen verschiedenen Umgebungen ermöglicht. Diese Optimierung kann die Produktivität Ihrer Entwicklungsteams erhöhen und Ihre Entwicklungsprozesse verbessern. Gleichzeitig wird die Sicherheitsorientierung und Compliance Ihrer gesamten Softwarelieferkette sichergestellt. Mit OpenShift Platform Plus können Sie die Zusammenarbeit von Operations-, Entwicklungs- und Sicherheitsteams verbessern und Ideen von der Entwicklung zur Produktion bringen – für eine moderne cloudnative Anwendungsentwicklung.

Die Builds und Pipelines von Red Hat OpenShift sowie GitOps (in OpenShift enthalten) stellen dabei die Komponenten zur Verfügung, die zur Ausführung von Quellcode-Builds und Anwendungspaketen auf OpenShift notwendig sind. Hinzu kommt ein flexibles Framework zur Integration von sicherheitsbezogenen Aufgaben in die CI/CD-Pipeline.

Red Hat Application Services bietet zahlreiche, sofort einsatzbereite Sicherheitsfunktionen für Ihre Anwendungen, darunter branchenübliche Protokolle (wie OAuth/OpenID, JWT Tokens), Single Sign-On (SSO) und Identitätsverwaltung, Role-based Access Control (RBAC), Cluster-Authentifizierung und Verschlüsselung im Cluster. 

Unser Netzwerk aus Sicherheitspartnern unterstützt Kunden dabei, ihre Möglichkeiten zur Sicherung von Anwendungen und Infrastruktur mithilfe von DevSecOps-Praktiken zu erweitern und zu verbessern. Durch die Kombination aus unseren Produkten und Services mit diesem Partnernetzwerk können Kunden wichtige Sicherheitsherausforderungen angehen, darunter:

• Compliance und Governance
• Identitäts- und Zugriffsmanagement
• Schwachstellen- und Konfigurationsmanagement
• Plattformsicherheit
• Netzwerkkontrollen
• Datenkontrollen
• Sicherheitskontrollen
• Runtime-Analyse und -Schutz
• Protokollierung und Monitoring
• Problembehebung

Mit Red Hat Services können Sie Ihre Technologieinvestitionen in messbare und sinnvolle geschäftliche Ergebnisse verwandeln. Von der Unternehmenskultur über Geschäftsprozesse bis hin zu Training und Zertifizierung – wir können Sie beim Einstieg in DevSecOps unterstützen.