DevSecOps als Erweiterung von GitOps in Architekturkonzepten
GitOps ist für die Nachvollziehbarkeit von Konfigurationen ein
Eckstein von sicheren Umgebungen.
Wenn wir DevSecOps einführen, haben wir es meistens mit Umgebungen zu tun, die klassisch reguliert sind und in denen Leute alles andere als agil arbeiten. Beispiele dafür sind Kritis-Umgebungen (Energie, Gesundheit, Öffentlicher Sektor, Finance, Verkehr ...).
Auf der anderen Seite werden die von der Regulierung auferlegten Prozesse nicht wirklich gelebt. Wir erleben Wasserfallmodelle, in denen wir erfahrene Scouts brauchen, die Schleichwege ihrer Organisationen kennen und viel Papiertiger-Compliance, die alles andere als robust ist.
Für eine ernsthafte Transformation muss deshalb auch Security by Design Teil der Zielarchitektur sein. Der CNCF-Prozess und die
DevSecOps-Dokumente des US-DoD geben einen Rahmen vor, der dann mit CIS, NIST, Branchenstandards und BSI Grundschutz ausgefüllt wird.
Ein Beispiel, an dem der Redner mitgearbeitet hat, die erste Form des Rahmenwerks der Zielarchitektur der
Deutsche Verwaltungscloud-Strategie und von
Open Desk.
Es werden die Hochs und Tiefs auf dem Wege der Einführung von DevSecOps in diesen Umgebungen beschrieben.