DevOps + Sicherheit = DevSecOps

Immer mehr Unternehmen fördern eine enge Zusammenarbeit zwischen Entwicklung und Betrieb, um die Bereitstellung hochwertiger Software zu beschleunigen. Doch das schnelle DevOps-Umfeld erfordert einen integrierten Sicherheitsansatz – und damit entsteht DevSecOps.

DevOps beschreitet weiterhin neue Wege, insbesondere im SAP-Umfeld: HANA ist eine platform dank der Verarbeitung großer Datenmengen ideale Voraussetzungen für die schnelle und agile Programmierung neuer Anwendungen in hoher Qualität bietet. Dies entspricht den wachsenden Anforderungen von Unternehmen, flexibel auf sich verändernde Märkte und Kundenbedürfnisse zu reagieren, um im Wettbewerb erfolgreich zu sein. Anstelle von wenigen großen SAP-Releases, wie sie in der herkömmlichen Softwareentwicklung üblich sind, platform auf Basis der leistungsstarken platform kontinuierlich zahlreiche kleinere Funktionen und Lösungen in Betrieb genommen.

Nutzen Sie verschiedene Sicherheitsansätze

Doch auch wenn der Zeitdruck in der DevOps-Umgebung hoch ist, darf das Thema Sicherheit nicht vernachlässigt werden – zumal die Fülle neuer Programmiermöglichkeiten Cyberkriminellen und anderen böswilligen Akteuren immer mehr Angriffsmöglichkeiten eröffnet. DevSecOps ist ein weiterentwickelter Ansatz, der die Sicherheitsanforderungen der agilen Softwareentwicklung erfüllt, indem er Sicherheit in jeden Schritt des DevOps-Zyklus integriert. Im Kern konzentriert sich DevSecOps auf funktionale Schutzmaßnahmen für die DevOps-Umgebung. Authentifizierung, Autorisierung und Verschlüsselung dienen beispielsweise dazu, Schnittstellen vor Manipulationen zu schützen oder mögliche Sicherheitslücken durch Komponenten von Drittanbietern zu verhindern.

So wichtig diese funktionalen Schutzkomponenten auch sein mögen, reichen sie allein nicht aus, um den Sicherheitsrisiken in der DevOps-Umgebung wirksam entgegenzuwirken. Daher sollten Unternehmen gleichzeitig einen technischen Ansatz verfolgen, der Sicherheit von Anfang an in die Entwicklung einbezieht und geeignete Tools einsetzt, um die Sicherheitsanforderungen über den gesamten Software-Lebenszyklus hinweg zu erfüllen. Sicherheitsstandards wie OWASP Top 10, SANS 25, BIZEC App/11 und BIZEC Tec/11 sollten berücksichtigt und an mehreren Testpunkten automatisch geprüft werden. Nur so kann sichergestellt werden, dass die neuen Funktionen und Anwendungen sicher programmiert, konfiguriert und auf das Zielsystem übertragen werden können.

Roadmap für den Software-Lebenszyklus

DevSecOps stellt in den einzelnen Phasen des Software-Lebenszyklus folgende Anforderungen an DevOps-Teams, die Anwendungen auf Basis von klassischem SAP oder SAP HANA entwickeln:

1. 
   en zur Code-Entwicklung: Je früher eine SAP-Sicherheitslücke behoben wird, desto geringer ist der spätere Aufwand. Daher sollten Fehler und Schwachstellen im ABAP-Code bereits während der Programmierung so früh wie möglich erkannt und korrigiert werden. Neben den Standard-Testtools in der SAP-Entwicklungsumgebung stehen auch Open-Source-Tools und Add-ons von Drittanbietern zur Verfügung, um den ABAP-Quellcode gemäß bestimmten Sicherheitsstandards zu analysieren.Diese Tools integrieren die Sicherheitsstandards in Form von vorkonfigurierten Prüfkatalogen und stellen sicher, dass jede Prüfung automatisch direkt während des Codeschreibens durchgeführt wird – vergleichbar mit einer interaktiven Rechtschreibprüfung in Textverarbeitungsprogrammen, mit der Textdokumente bei der Eingabe analysiert und auf Fehler überprüft werden können. Die automatische Quellcodeanalyse macht manuelle Eingriffe durch Programmierer überflüssig und reduziert damit verbundene Fehlermöglichkeiten.
2. Testphase
   Um das Sicherheitsniveau in der DevOps-Umgebung weiter zu erhöhen, sollten automatisierte Tests unmittelbar nach der Entwicklung obligatorisch sein; ohne diese ist eine Code-Freigabe grundsätzlich nicht möglich. Für diese Phase stehen verschiedene Testtools zur Auswahl, mit denen der ABAP-Quellcode direkt in der Entwicklungsumgebung getestet wird. Ob dabei Tools von SAP, Open-Source- oder Add-on-Anbietern zum Einsatz kommen, hängt von den individuellen Anforderungen im Unternehmen ab. Stellt sich während der Testphase heraus, dass der Code die geforderten Qualitätskriterien nicht erfüllt, darf er unter keinen Umständen in die nächste Stufe transportiert, sondern muss korrigiert werden.
3. 
   in der Build-Phase In der Build-Phase werden die einzelnen ABAP-Codefragmente zusammen mit den Konfigurationen und Tabelleninhalten zu ausführbaren Einheiten „verpackt“ – daher auch als Pakete oder, im SAP-Jargon, als Transporte bezeichnet. Das Transportsystem in SAP ist ein wichtiges Werkzeug, um eigene Entwicklungen in das Produktivsystem zu übertragen. Da es jedoch keine detaillierte Prüfung der Transportobjekte durchführt, wird erst nach dem Import deutlich, ob die Anpassungen ohne negative Auswirkungen übernommen werden können. Daher sollten bereits in der Build-Phase automatische Sicherheits- und Qualitätstests durchgeführt werden. Darüber hinaus stellt die Integration dieser Prüfungen in den Änderungsprozess sicher, dass die Anpassungen im produktiven SAP-System keine kritischen Einstellungen verändern oder unbeabsichtigt Daten überschreiben.
4. Laufzeitumgebung / Betriebs
   Da jede Änderung das Laufzeitverhalten eines Systems beeinflusst, kann dies auch mit einer Verschlechterung des Sicherheitsniveaus einhergehen – beispielsweise wenn durch eine neue Konfiguration die Protokollierung deaktiviert wird. Um dies zu vermeiden, sollte der Systembetrieb regelmäßig mit geeigneten Testtools überprüft werden. Tritt ein Sicherheitsvorfall auf, muss der Systemadministrator unverzüglich eine entsprechende Warnmeldung erhalten.

Nahtlose Anbindung von Testtools

Zahlreiche Praxisbeispiele belegen dies: Selbst bei der konventionellen Programmierung im SAP-Umfeld sind IT-gestützte Tests unverzichtbar, um Sicherheitslücken im Code und in den Anwendungen rechtzeitig zu erkennen und zu beheben. Dies gilt umso mehr für das DevOps-Konzept, das einen dauerhaft hohen Durchsatz mit Agilität und hohen Qualitätsanforderungen verbindet. Um bei DevOps auf der sicheren Seite zu sein, sollten Unternehmen auf DevSecOps setzen und Testtools einsetzen, die direkt in die DevOps-Umgebung integriert sind und in jeder Phase des Anwendungslebenszyklus ein hohes Maß an Automatisierung gewährleisten.
Unabhängig davon, für welche Sicherheitstools sich ein Unternehmen entscheidet, ist es wichtig, dass sich die einzelnen Komponenten nahtlos integrieren und miteinander verknüpfen lassen, damit keine Medienbrüche entstehen. Andernfalls besteht die Gefahr, dass schnell der Überblick verloren geht und bestehende Fehler- oder Mängellisten übersehen werden.

Durchsetzung und kontinuierliche Überwachung

Einige Sicherheitsverbesserungen können so implementiert werden, dass sie fester Bestandteil eines Prozesses werden, doch nicht alles ist garantiert. Die Platform lässt sich in einen DevSecOps-Zyklus integrieren und ermöglicht die automatisierte Analyse von benutzerdefiniertem Quellcode, die Überprüfung und Sicherung von SAP-Transportinhalten sowie automatische Warnmeldungen, wenn Aktionen außerhalb baseline stattfinden. Darüber hinaus Platform die Platform Ihre Anwendungen in der Produktion, indem sie die Bewertung von Anwendungen auf Fehlkonfigurationen und Schwachstellen automatisiert und kontinuierlich auf Missbrauch und Cyberbedrohungen überwacht. Erfahren Sie mehr darüber, wie Onapsis Ihnen helfen kann, DevSecOps für Ihre SAP-Anwendungen zu ermöglichen.