Zum Hauptinhalt springen
Romano Roth
Kontinuierliche Sicherheit mit DevSecOps und Platform Engineering
  1. Blogs/

Kontinuierliche Sicherheit mit DevSecOps und Platform Engineering

·5 min
DevSecOps Platform Engineering Sicherheit DevOps CI/CD Digital Factory Transformation
Autor
Romano Roth
Ich bin überzeugt: Der nächste Wettbewerbsvorteil ist nicht AI selbst, sondern die Organisation drumherum. Als Chief AI Officer bei Zühlke arbeite ich mit C-Level-Führungskräften daran, Unternehmen zu bauen, die wahrnehmen, entscheiden und sich kontinuierlich anpassen. Seit über 20 Jahren mache ich diese Überzeugung zur Praxis.
Inhaltsverzeichnis
Frag die KI über diesen Artikel

Stellen Sie sich eine Welt vor, in der Sicherheit nahtlos in Ihren Entwicklungsworkflow integriert ist, von der Idee bis zur Produktion, sodass sich Entwicklungsteams vollständig auf die Feature-Entwicklung konzentrieren können und dabei sichere Anwendungen bauen. Genau das habe ich am OWASP Chapter Meetup Schweiz präsentiert. In diesem Vortrag zeige ich, wie Platform Engineering die moderne Anwendungssicherheit transformiert und DevSecOps im grossen Massstab zur Realität macht.

Heutige Herausforderungen: Mauern der Verwirrung
#

Wenn ich bei verschiedenen Unternehmen einsteige, sehe ich oft dasselbe Bild. Der Fachbereich wirft Ideen über eine Mauer der Verwirrung zum Entwicklungsteam. Das Entwicklungsteam baut etwas und wirft es über eine weitere Mauer zum Testing. Das Testing reicht es an den Betrieb weiter, und der Betrieb klebt es mit Klebeband in die Produktion. Der Kunde bekommt etwas, das er kaum nutzen kann.

Diese Mauern entstehen durch die Siloorganisation, die in vielen Unternehmen noch existiert. Business, Engineering, QA und Betrieb haben jeweils ihre eigene Organisationseinheit, ihre eigenen Ziele und ihre eigenen Anreize. Das Ergebnis: Fehlausrichtung, veraltete Prozesse und Sicherheit als Nachgedanke.

DevSecOps: Alle an einen Tisch bringen
#

DevSecOps ist ein Mindset, eine Kultur und eine Reihe von technischen Praktiken, die dabei helfen, alle Beteiligten über den gesamten Wertstrom hinweg auszurichten. Die Debatte über die Terminologie (DevSecOps vs. DevBizOps vs. DevSecBizARCompQAOps) führt nirgendwohin. Am Ende geht es bei DevOps darum, alle Menschen, Prozesse und Technologien zusammenzubringen, um kontinuierlich sicheren Wert zu liefern.

Die Zahlen sprechen für sich. Der State of DevOps Report 2024 zeigt, dass High Performer 182-mal mehr Deployments haben, eine 127-mal schnellere Durchlaufzeit und deutlich bessere Sicherheit, Qualität und Kundenzufriedenheit. Genau das wollen CIO und CEO.

Das Problem der kognitiven Last
#

Hier liegt die Herausforderung: DevSecOps umzusetzen ist komplex. Allein das Einbauen von Sicherheit in die CI/CD-Pipeline ist ein enormer Aufwand. Ich habe 25 Videos allein zur Implementierung von DevSecOps in CI/CD-Pipelines für GitHub und GitLab erstellt.

Und das ist nur ein Puzzlestück. Entwicklungsteams brauchen auch Infrastruktur (Cloud oder On-Prem), eine Laufzeitumgebung, Monitoring, Sicherheitstools, Kostenmanagement und Zugriffsmanagement. In grösseren Unternehmen erzeugt das eine enorme kognitive Last. Multiple Anwendungsstacks, Toolkomplexität und ständige Wartung fressen die Produktivität auf.

Die Frage lautet: Lässt sich DevSecOps überhaupt skalieren? Oder sollten wir zurück zu Silos?

Die digitale Fabrik: Wohin sich die Industrie bewegt
#

Die Antwort sind nicht Silos. Die Antwort ist das Digital-Factory-Modell, bei dem Lean Portfolio Management die Strategie mit der Umsetzung ausrichtet, Produktmanagement Produkte und Teams organisiert, Produktteams DevSecOps mit End-to-End-Verantwortung betreiben und das Plattformteam das Fundament baut, das alles ermöglicht.

Hier kommt Platform Engineering ins Spiel. Platform Engineering ist die Industrialisierung der Softwareentwicklung. Statt dass jedes Team seine eigene Toolchain und Infrastruktur aufbaut, wird standardisiert, wie Software im Unternehmen gebaut und ausgeliefert wird.

Platform Engineering in der Praxis
#

Das Zielbetriebsmodell ist klar: Produktteams fokussieren sich auf Feature-Entwicklung mit einem kleinen Technologie-Stack, während eine Self-Service-Plattform, gebaut vom Plattformteam, die schwere Arbeit übernimmt. Die Plattform ist ein internes Produkt. Ihre Kunden sind die Produktteams.

Die Schlüsselprinzipien sind unkompliziert. Die Plattform stellt alle Werkzeuge und Fähigkeiten bereit, die Produktteams brauchen. Monitoring beispielsweise wird als Fähigkeit vom Plattformteam über Tools wie Grafana und Prometheus bereitgestellt, aber das tatsächliche Monitoring wird von den Produktteams durchgeführt, weil sie die End-to-End-Verantwortung für ihr Produkt tragen.

Bei Zühlke haben wir eine solche Plattform gemeinsam mit LGT, einer Privatbank, aufgebaut. Sie unterstützt 462 Entwickler über 14 Partner und 22 Spaces mit 15 Kubernetes-Clustern. Zu den wichtigsten Funktionen gehören: sofortiges Onboarding und Offboarding durch Identity Federation, Repository-Scanning mit Trivy und Secret Detection auf Plattformebene, Container-Image-Scanning mit KI-gestützter Analyse, standardisierte Observability mit vorgefertigten Grafana-Dashboards, ein Self-Service-Katalog für Datenbanken, KI-Services und Infrastruktur sowie ein Release-Portal mit Schwachstellen-Gating.

Sicherheitsrichtlinien kodifizieren
#

Eine der wichtigsten Lektionen: Schreiben Sie Ihre Sicherheitsrichtlinien nicht in Word-Dokumente oder Confluence-Seiten. Kodifizieren Sie sie in die Plattform. Wenn Richtlinien automatisiert sind, muss kein Entwickler einen 50-seitigen Sicherheitsleitfaden lesen. Die Regeln werden automatisch angewendet, und Teams erhalten gleichzeitig Geschwindigkeit und Sicherheit.

KI als Fähigkeit auf der Plattform
#

Wo passt KI hinein? KI ist einfach eine Fähigkeit auf der Plattform. Sie wird über eine API den Produktteams in einer gouvernierten und standardisierten Weise bereitgestellt. Wenn man hineinzoomt, ist diese «kleine Box» tatsächlich recht gross: die Anwendungsschicht (Chatbots, Coding-Assistenten, synthetische Datentools), die Werkzeugschicht (Prompt Engineering, Vektordatenbanken, RAG, Fine-Tuning), der Model Hub (versionierte Modelle) und die GenAI-Infrastruktur (Cloud und On-Prem).

Die Governance von KI über die Plattform war für uns ein Gamechanger. Vorher machte jeder seine eigenen KI-Experimente und unser CISO war nicht glücklich. Mit der Plattform wurde die KI-Nutzung sicher, gouverniert und produktiv.

Von Ticket-Ops zu Enabling IT
#

Die IT der Zukunft dreht sich nicht darum, Tickets zu eröffnen und wochenlang auf Infrastruktur zu warten. Es geht darum, vorkonfigurierte Services, Golden-Path-Templates und ganze Entwicklungsfabriken über eine Self-Service-Plattform bereitzustellen. Das nenne ich die Enabling IT, und dahin bewegt sich die Branche.

Kernaussagen
#

  • DevSecOps ist nicht tot: Platform Engineering befähigt Teams, DevSecOps im grossen Massstab umzusetzen
  • Bauen Sie eine Self-Service-Plattform: Ihre Plattform ist ein internes Produkt mit den Entwicklungsteams als Kunden
  • Kodifizieren Sie alle Richtlinien: Sicherheits-, Compliance- und Governance-Regeln gehören in die Plattform, nicht in Dokumente
  • Nutzen Sie das Floating-Platform-Konzept: Integrieren Sie Tools über die Plattform, nie direkt miteinander, damit Sie jedes Tool ohne Störung ersetzen können
  • KI ist eine Fähigkeit, keine Strategie: Stellen Sie KI über Ihre Plattform gouverniert und sicher bereit
  • Neue Anwendungen in 15 Minuten: Mit Zertifikaten, Backups, Sicherheit und Monitoring ab dem ersten Tag