Konto Anmelden
Illustration of man and women working on their laptops side by side
Jump to section

Warum Red Hat für DevSecOps?

URL kopieren

Viele Unternehmen konzentrieren sich bei der Implementierung von DevSecOps nur auf die Anwendungs-Pipeline. Es gibt aber noch andere Bereiche, die es zu beachten gilt. Bei den DevSecOps-Lösungen von Red Hat® geht es nicht nur darum, Unternehmen bei ihrer Anwendungs-Pipeline in containerisierten Umgebungen zu unterstützen. Es geht auch darum, ihnen beim Entwickeln, Bereitstellen und Ausführen von Anwendungen mithilfe von DevSecOps-Praktiken zu helfen – und zwar sowohl in traditionellen als auch in containerisierten Umgebungen, um Sicherheitsprobleme und Schwachstellen schon früh im Anwendungs- und Infrastruktur-Lifecycle angehen zu können.

Zusammen mit einem Netzwerk aus Sicherheitspartnern bietet Red Hat einen DevSecOps-Ansatz, mit dem Unternehmen weiter Innovationen schaffen können, ohne dabei die Sicherheit zu gefährden. Mit unserer Expertise und Kompetenz liefern wir ein robustes Portfolio, mit dem Unternehmen sicherheitsorientierte Anwendungen ortsunabhängig in ihrer Open Hybrid Cloud entwickeln, bereitstellen und ausführen können – egal in welcher Phase der DevSecOps-Einführung sie sich befinden.

    Virtuelles Event

    Von den Fachleuten beim Red Hat Security Symposium lernen

    DevSecOps ist ein komplexes Unterfangen, insbesondere weil sich die DevOps-Tools – und der DevOps-Prozess allgemein – kontinuierlich weiterentwickeln und ändern. Dazu kommen weitere Maßnahmen für die Softwaresicherheit sowie Technologien, die den Einsatz von DevSecOps nicht nur generell, sondern zur Entwicklung moderner Anwendungen auch in großem Umfang ermöglichen – mithilfe von Technologien wie Container, Kubernetes und Public Cloud-Services.

    Entwicklungs- und Operations-Teams müssen dafür sorgen, dass die Informationssicherheit – einschließlich der Sicherheit von Containern und Kubernetes – von Anfang an integraler Bestandteil des Anwendungs- und Infrastruktur-Lifecycles ist. Damit fällt es diesen Beschäftigten zu, die wichtige IT-Infrastruktur zu schützen, sicherheitsorientierte Anwendungen zu entwickeln und auszuführen, für die Sicherheit sensibler Daten zu sorgen und mit dem Wandel Schritt zu halten.

    DevSecOps hilft den IT- und Sicherheitsteams dabei, Sicherheitsprobleme anzugehen – egal, ob es um Personal, Prozesse oder Technologien geht. Dadurch können sie das Tempo und die Effizienz in ihrem Unternehmen erhöhen, für mehr Sicherheit und Konsistenz sorgen und die Wiederholbarkeit und Zusammenarbeit verbessern. DevSecOps kann Sie konkret bei Folgendem unterstützen:

    • Mehr Sicherheit und weniger Risiken durch frühzeitiges Entfernen von Sicherheitslücken im Anwendungsentwicklungs- und Infrastruktur-Lifecycle, was potenzielle Produktionsprobleme reduzieren kann.
    • Erhöhte Effizienz und Geschwindigkeit von DevOps-Release-Zyklen durch das Entfernen von veralteten Sicherheitspraktiken und -tools – mithilfe von Automatisierung, Standardisierung auf eine Toolchain und Implementierung von IaC (Infrastructure as Code), SaC (Security as Code) und CaC (Compliance as Code), was durch Wiederholbarkeit und Konsistenz für einen besseren Entwicklungsprozess sorgt.
    • Gemindertes Risiko und erhöhte Transparenz durch frühzeitiges Implementieren von Sicherheits-Gates im Anwendungsentwicklungs- und Infrastruktur-Lifecycle zur Reduzierung menschlicher Fehler und zur Verbesserung der Sicherheit, Compliance, Vorhersagbarkeit und Wiederholbarkeit bei gleichzeitiger Vereinfachung von Audits.

    Eine erfolgreiche Implementierung von DevSecOps fängt schon vor der Anwendungs-Pipeline an. Organisationen müssen zunächst sicherstellen, dass ihre Anwendungen und Infrastrukturkomponenten auf Software ausgeführt werden, die über integrierte Sicherheitstools und -funktionen verfügt. Zusätzlich sollten sie eine konsistente Automatisierungsstrategie in der gesamten Organisation implementieren, um mehr Kontrolle über ihre Umgebungen zu erhalten, was ein wichtiges Element des DevSecOps-Prozesses darstellt.

    Mithilfe von Automatisierung können sie sicherheitsorientierte Anwendungen entwickeln und DevSecOps-Praktiken frühzeitig im Entwicklungs- und Infrastruktur-Lifecycle integrieren.

    Die meisten Unternehmen konzentrieren sich bei der Implementierung von DevSecOps auf die Anwendungs-Pipeline. Es gibt aber noch andere Bereiche, die es zu beachten gilt. Red Hat und unser Netzwerk aus Sicherheitspartnern kann diesen Unternehmen dabei helfen, sicherheitsorientierte Anwendungen mithilfe von DevSecOps-Praktiken zu entwerfen, zu entwickeln, bereitzustellen und auszuführen – und zwar sowohl in traditionellen als auch in containerisierten Umgebungen.

    Wir unterstützen Kunden unabhängig davon, in welcher Phase der DevSecOps-Einführung sie sich befinden. Mit dem unten gezeigten Modell zum DevSecOps-Reifegrad können Kunden genauer beurteilen, in welcher Phase sie sich gerade befinden:

    • Einsteiger: Alles wird manuell durchgeführt, von der Entwicklung bis zum Deployment von Anwendungen. Anwendungsentwicklungs-, Infrastruktur-, IT-Operations- und Sicherheitsteams arbeiten hauptsächlich isoliert voneinander, statt die Vorteile teamübergreifender Zusammenarbeit zu nutzen.
    • Nutzer ohne umfassende Erfahrung: Durch die Standardisierung auf eine Toolchain können Prozesse wie IaC (Infrastructure as Code), SaC (Security as Code) und CaC (Compliance as Code) mithilfe von Automatisierung im gesamten Unternehmen konsistent ausgeführt werden.
    • Fortgeschrittene: Infrastruktur und Anwendungsentwicklung sind bereits automatisiert, und das Unternehmen versucht nun, seine Prozesse zu verbessern, wie etwa Entwicklungsprozesse, die Skalierung vorhandener Automatisierungen und die Implementierung von DevSecOps in großem Umfang mithilfe von Technologien wie Container, Kubernetes und Public Cloud Services. Das Unternehmen entwickelt Anwendungen in großem Umfang in einer dynamischen Umgebung für die kontinuierliche Softwarebereitstellung und nutzt dabei fortschrittliche Deployment-Techniken, Self-Service und Autoscaling.
    • Experten: Das Unternehmen hat den Punkt erreicht, bei dem alles in einer cloudnativen Umgebung nach einem API-First-Ansatz (Application Programming Interface) erfolgt. Dabei werden Technologiemodelle wie Serverless und Microservices in Erwägung gezogen oder verwendet und die Vorteile von künstlicher Intelligenz und maschinellem Lernen genutzt, um Entscheidungen über Sicherheitstests und die Anwendungsentwicklung zu treffen.

    Die in unser Open Source-Portfolio integrierten Sicherheitsfunktionen erleichtern es Entwicklern, Architekten, IT-Operatoren und Sicherheitsteams, mehrschichtige Sicherheitsmaßnahmen für DevSecOps frühzeitig im Anwendungsentwicklungs- und Infrastruktur-Lifecycle sowie im gesamten Stack zu implementieren. Im Folgenden zeigen wir Ihnen einige Optionen, mit denen wir dies möglich machen.

    Grundlegende Sicherheit für DevSecOps

    Wir sorgen mit Red Hat Enterprise Linux® (RHEL) für grundlegende Sicherheit, damit Unternehmen vorhandene und cloudnative Anwendungen konsistent in allen virtuellen, Bare Metal-, Container- und Cloud-Umgebungen ausführen können. RHEL bietet für die Sicherheit wichtige Isolierungstechnologien, starke Verschlüsselung, Identitäts- und Zugriffsmanagement, Sicherheit für die Software-Lieferkette und von unabhängiger Stelle validierte Sicherheitszertifizierungen, die für DevSecOps-Workflows erforderlich sind.

    Open Source-Technologien, die auf RHEL aufsetzen – wie etwa Red Hat OpenShift®, die Red Hat OpenStack® Platform und Red Hat Data Services – verfügen automatisch über alle Sicherheitsvorteile, die RHEL bietet.

    Standardisierung von Workflows und Prozessen durch IT-Automatisierung

    Inkompatible DevSecOps-Tools, -Praktiken und -Prozesse können die Zusammenarbeit, Transparenz und Produktivität beeinträchtigen und gleichzeitig die Möglichkeit für menschliche Fehler erhöhen. Die Automatisierung von Lifecycle-Operationen bietet eine ideale Gelegenheit, konsistente, wiederholbare Prozesse, Workflows und Frameworks zu erstellen, die die Interaktion zwischen den Softwareentwicklungs-, IT-Infrastruktur- und Sicherheitsteams vereinfachen.

    Mit einer einzigen, von Menschen lesbaren Sprache bietet die Red Hat Ansible® Automation Platform eine einheitliche, benutzerfreundliche Automatisierungsbasis. Diese fördert die Zusammenarbeit, Transparenz und Konsistenz in allen Bereichen der IT-Umgebung – von den Anwendungen und der Sicherheit bis hin zu den Netzwerken und der Infrastruktur von Unternehmen.

    DevSecOps in großem Umfang –mit Containern, Kubernetes und Anwendungsservices

    Mit OpenShift können Unternehmen sicherheitsorientierte, cloudnative Anwendungen in großem Umfang entwickeln, bereitstellen, ausführen und verwalten. Das trifft insbesondere auf OpenShift Platform Plus zu, das auf der Kernplattform basiert und Red Hat Advanced Cluster Security for Kubernetes, Red Hat Advanced Cluster Management for Kubernetes und Red Hat Quay umfasst.

    Mit diesen Technologien können Unternehmen Sicherheitsprüfungen in ihre CI/CD-Pipelines (Continuous Integration/Continuous Delivery) integrieren, um Entwicklerinnen und Entwicklern automatisierte Rahmenbedingungen in vorhandenen Workflows zu geben, ihre Workloads und Kubernetes-Infrastruktur vor Fehlkonfigurationen und Compliance-Verstößen zu schützen und die Erkennung von und Reaktion auf Bedrohungen der Runtime zu implementieren.

    Grundlage von OpenShift Platform Plus ist die Automatisierung der Sicherheit und Operationen des vollständigen Stacks, was ein konsistentes Erlebnis in allen Umgebungen ermöglicht. Diese Optimierung kann die Produktivität Ihrer Entwicklungsteams erhöhen und Ihre Entwicklungsprozesse verbessern. Gleichzeitig wird die Sicherheitsorientierung und Compliance Ihrer gesamten Software-Lieferkette sichergestellt. Mit OpenShift Platform Plus können Sie die Zusammenarbeit von Operations-, Entwicklungs- und Sicherheitsteams verbessern und Ideen von der Entwicklung zur Produktion bringen – für eine moderne cloudnative Anwendungsentwicklung.

    Die Builds und Pipelines von Red Hat OpenShift sowie GitOps (in OpenShift enthalten) stellen dabei die Komponenten zur Verfügung, die zur Ausführung von Quellcode-Builds und Anwendungspaketen auf OpenShift notwendig sind. Hinzu kommt ein flexibles Framework zur Integration von sicherheitsbezogenen Aufgaben in die CI/CD-Pipeline.

    Red Hat Application Services bietet zahlreiche, sofort einsatzbereite Sicherheitsfunktionen für Ihre Anwendungen, darunter branchenübliche Protokolle (wie OAuth/OpenID, JWT Tokens), Single Sign-On (SSO) und Identitätsverwaltung, Role-based Access Control (RBAC), Cluster-Authentifizierung und Verschlüsselung im Cluster. 

    Red Hat CodeReady Workspaces bietet eingeschränkte gehostete Entwickler-Workspaces mit OpenShift-Sicherheitsfunktionen, wodurch der Quellcode und die Quellumgebungen von lokalen Rechnern ferngehalten werden. Darüber hinaus haben IT-Teams jetzt Kontrolle darüber, welche Tools und Container Images von den Entwicklungsteams beim Entwickeln von Anwendungen verwendet werden. In vielen Fällen lassen sich dieselben Container Images, die Anwendungen in einer Produktivumgebung ausführen, auch für die Entwicklung verwenden. Dadurch werden die Sicherheitsstandards eines Unternehmens durchgehend erzwungen.

    Mit den Abhängigkeitsanalysen von Red Hat CodeReady können Entwicklerinnen und Entwickler Probleme bei Abhängigkeiten schon früh im Anwendungsentwicklungs-Lifecycle erkennen und auf empfohlene Pakete mit geeigneten Sicherheitsupdates aktualisieren. Unterstützt wird dies in Zusammenarbeit mit Snyk, um das Scannen nach Abhängigkeiten für die Programmiersprachen Java, JavaScript, Python, und Go zu ermöglichen.

    Unser Netzwerk aus Sicherheitspartnern unterstützt Kunden dabei, ihre Möglichkeiten zur Sicherung von Anwendungen und Infrastruktur mithilfe von DevSecOps-Praktiken zu erweitern und zu verbessern. Durch die Kombination aus unseren Produkten und Services mit diesem Partnernetzwerk können Kunden wichtige Sicherheitsherausforderungen angehen, darunter:

    • Compliance und Governance
    • Identitäts- und Zugriffsmanagement
    • Schwachstellen- und Konfigurationsmanagement
    • Plattformsicherheit
    • Netzwerkkontrollen
    • Datenkontrollen
    • Sicherheitskontrollen
    • Runtime-Analyse und -Schutz
    • Protokollierung und Monitoring
    • Problembehebung

    Mit Red Hat Services können Sie Ihre Technologie-Investitionen in messbare und sinnvolle geschäftliche Ergebnisse verwandeln. Von der Unternehmenskultur über Geschäftsprozesse bis hin zu Training und Zertifizierung – wir können Sie beim Einstieg in DevSecOps unterstützen.

    Mehr erfahren

    Artikel

    Was ist Container-Sicherheit?

    Erfahren Sie mehr darüber, wie Sie Container-Sicherheit in Ihrem eigenen Unternehmen implementieren können.

    Blog

    The State of Kubernetes Security

    Finden Sie heraus, wie Unternehmen Kubernetes, Container und cloudnative Technologien einführen und dabei die Herausforderungen bewältigen, die das Sichern dieser Umgebungen mit sich bringt.

    Thema

    Das Sicherheitskonzept von Red Hat für die Hybrid Cloud

    Unser Sicherheitskonzept umfasst mehrere Schichten mit tiefgehendem Schutz (Defense-in-Depth-Strategie) und kann Kunden so dabei unterstützen, für mehr Sicherheit in der gesamten Infrastruktur sowie im gesamten Anwendungs-Stack und Lifecycle zu sorgen.

    Nächste Schritte bei der DevSecOps-Einführung

    Red Hat OpenShift

    Eine unternehmensgerechte Kubernetes-Container-Plattform.

    Red Hat Ansible Automation Platform

    Eine Plattform für die Implementierung unternehmensweiter Automatisierungsprozesse – unabhängig davon, in welcher Phase der Automatisierung Sie sich befinden.

    Red Hat Application Services

    Eine einheitliche Umgebung für die Entwicklung, Bereitstellung, Integration und Automatisierung von Anwendungen.

    Eine unternehmensgerechte, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

    Illustration - mail

    Möchten Sie mehr zu diesen Themen erfahren?

    Abonnieren Sie unseren kostenlosen Newsletter, Red Hat Shares.