adam121 - stock.adobe.com

Von DevOps zu CloudOps: Das Vier-Boxen-Modell

Die größte Sorge von SOC-Teams, die Dienste auf mehreren Cloud-Plattformen betreiben, besteht darin, die Konfiguration von mehr als 200 Servern Plattform-übergreifend umzusetzen.

Da voneinander isolierte Teams nicht gut zusammenarbeiten, bereiten organisatorische „Boxen“ seit jeher Probleme. Eine der häufigsten organisatorischen Trennungen ist das Zwei-Boxen-Modell mit dem Sicherheitsteam auf der einen und Entwicklern auf der anderen Seite.

Die beiden „Boxen“ sind für vollkommen unterschiedliche Software- und Produktbereiche innerhalb eines Unternehmens verantwortlich. Während für Entwickler der Prozess des Coding im Vordergrund steht, prüfen Sicherheitsteams, dass der entwickelte Code nur so funktioniert, wie er soll. Die Folgen sind absehbar: Konflikte können einen Keil zwischen die beiden Teams treiben. Insbesondere im Zuge der Cloud-Migration tritt dieses Dilemma noch deutlicher zutage.

Das Drei-Boxen-Modell

Mit der Einführung von DevOps-Teams kommt es zu drei parallel existierenden „Boxen“. Entwickler konzentrieren sich auf den Code, während DevOps die operativen Aufgaben inklusive der Sicherheit übernimmt. Das DevOps-Modell hat enorme Vorteile für die organisatorische Funktionalität, wie Gene Kim ausführlich beschreibt. Dazu gehören unter anderem die offene Kommunikation, eine positive Arbeitsumgebung und der Abbau von „Boxen“.

Die Sicherheit stellt jedoch weiterhin eine Herausforderung im DevOps-Modell dar. Traditionellerweise wurden Sicherheits-Tools für den Einsatz im Rahmen von Sicherheitsteams entwickelt. Beim Zwei-Boxen-Modell waren es Security-Teams allein, die für die Auswahl und den Einsatz der Sicherheitstools verantwortlich waren. Im Zuge des Drei-Boxen-Modells fällt dies jedoch in den Verantwortungsbereich des DevOps-Teams.

Da Sicherheitstools nach wie vor für die Handhabung durch erfahrene Security-Experten entwickelt werden, kann das zu Herausforderungen führen. DevOps-Mitarbeiter programmieren zwar nicht jeden Tag, denken jedoch wie Entwickler und bevorzugen schlanke Tools ohne komplexe Dokumentationen. Sicherheits-Tools erfordern zudem immer auch Input von Entwicklerseite – eine Tatsache, die sich seit dem Zwei-Boxen-Modell nicht verändert hat. Lediglich die Verantwortung hat sich vom Sicherheits- hin zum DevOps-Team verschoben. Die Kernherausforderung zwischen Entwicklern und Security bleibt jedoch weiterhin bestehen.

DevOps plus CloudOps: Vier Boxen

Bei komplexen Cloud-Infrastrukturen konzentrieren sich DevOps-Teams auf viel mehr als nur auf die Sicherheit. Sie verwalten darüber hinaus die gesamte Orchestrierung und das Prozessmanagement. Um diese Herausforderung zu meistern, ergänzen manche Unternehmen mit dem sogenannten CloudOps-Team eine neue Ebene – der Ursprung des Vier-Boxen-Modells ist geschaffen.

Unternehmen mit CloudOps-Teams verfügen in der Regel über eine Vielzahl von Cloud-Infrastrukturen und agieren im Rahmen einer Multi-Cloud-Strategie. Sie verändern die Dynamik, mit der frühere Modelle konfrontiert waren, indem sie die Sicherheit von Anfang an in ihre Überlegungen miteinbeziehen. Beim Vier-Boxen-Modell sind die Entwickler nur für die Codierung verantwortlich und DevOps lediglich für die kontinuierliche Integration und Bereitstellung (CI/CD). CloudOps-Teams hingegen kümmern sich um Agilität und Flexibilität. Die Optimierung der Architektur, das Kostenmanagement, die Kompatibilität und der Cloud-Betrieb sind ihre Hauptaufgabe.

Steve Quane, Trend Micro

„Da ein Unternehmen jedoch aus einer Vielzahl an Teams besteht, müssen diese untereinander kommunizieren, um einen reibungslosen Ablauf zu gewährleisten.“

Steve Quane, Trend Micro

Sicherheitskontrollen stellen dabei zwar nicht ihre Priorität dar, sind aber Teil des Prozesses. Security für CloudOps konzentriert sich mehr auf ein einheitliches Cloud Security Posture Management (CSPM), als auf Patching und andere klassische Sicherheitsaufgaben. Darüber hinaus betreiben diese Teams Dienste über alle drei großen Cloud-Anbieter hinweg. Im Mittelpunkt steht dabei weniger die einzelne Serverkonfigurationen, sondern vielmehr der Entwurf eines übergreifenden Modells der Gesamtkonfiguration von mehr als 200 Servern.

Im Zuge dieser Entwicklung stellt sich jedoch die Frage, warum Verantwortungsbereiche regelmäßig neu überdacht und verschoben werden. Was ist die Kernherausforderung, die Unternehmen dazu veranlasst, Ressourcen und Verantwortlichkeiten neu zuzuordnen?

Bereits der Ursprung des Zwei-Boxen-Modells beantwortet diese Frage. Teams konzentrieren sich in der Regel gerne auf ihre Kernverantwortung. Das hat zwar den Vorteil, dass Mitarbeiter ihre Aufgaben motiviert erledigen, auf der anderen Seite besteht jedoch die Gefahr, dass die einzelnen Teams nicht miteinander kommunizieren. Da ein Unternehmen jedoch aus einer Vielzahl an Teams besteht, müssen diese untereinander kommunizieren, um einen reibungslosen Ablauf zu gewährleisten.

Technologie erleichtert übergreifende Kommunikation

Das Vier-Boxen-Modell ist das Ergebnis jahrelanger Gespräche, gescheiterter Prozesse und Sackgassen. CloudOps-Teams sind innerhalb ihres Teams für verschiedene Sicherheitsfunktionen verantwortlich und sprechen mit dem Sicherheitsteam, sobald sie eine Herausforderung erkennen.

Die Kommunikation erfolgt zwar über ein Ticket-System, stellt jedoch eine Form der teamübergreifenden Kommunikation dar. Sobald das Sicherheitsteam die Infrastruktur gescannt und alle Cloud-Umgebungen geprüft hat, sendet es eine Benachrichtigung über mögliche Sicherheitsrisiken an das CloudOps-Team.

Die Benachrichtigung beinhaltet Informationen darüber, wer verantwortlich ist und wie die Sicherheitslücke behoben werden kann. Dieser Prozess erweckt den Eindruck, die Technologie würde ein menschliches Defizit lösen; denn durch die Automatisierung mithilfe eines Ticket-Management-Systems werden Sicherheitsrisiken gelöst, ohne dass das Sicherheitsteam mit dem Entwicklungsteam sprechen muss.

Unabhängig von der Form der Implementierung bleibt das Kernkonzept bestehen: Eine vollkommen automatisierte Security-Landschaft. Hauptanforderung an die Sicherheitslösung ist es, sich problemlos in dieses automatisierte Ökosystem einzufügen.

Über den Autor:
Steve Quane ist Executive Vice President, Network Defense and Hybrid Cloud Security bei Trend Micro.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management