Unter Compliance (deutsch: Einhaltung, Übereinstimmung) versteht man gemeinhin die Beachtung gesetzlicher oder unternehmensinterner Vorgaben. In der IT gewann der Begriff durch verschärfte gesetzliche Regelungen (DSGVO, KRITIS) und der zunehmenden Relevanz von Informationssicherheitsstandards wie ISO27001 längst an Bedeutung. Regelgerechte Konfigurationsstandards müssen definiert sein, deren Umsetzung und Einhaltung durch regelmäßige Überwachung sichergestellt werden. Traditionell wird dabei die Umsetzung der Sicherheitsstandards oft ans Ende der Entwicklung gestellt, die Einhaltung dieser meist erst am bestehenden System durch Audits geprüft.
In der dynamischen Welt der Containerisierung stellt dieser Ansatz eine Sackgasse dar. Agile CI/CD-Prozesse schaffen sich häufig ändernde Systeme und Konfigurationen – eine klassische, langwierige Abnahme und Freigabe ist hierbei kaum praktikabel. Ferner werden im Betrieb aus den definierten Konfigurationen dynamisch neue Container-Instanzen erzeugt und oftmals ebenso schnell wieder vernichtet. Eine klassische Auditierung an laufenden Systemen mit einer Lebensdauer im Sekundenbereich ist folglich nahezu unmöglich.
Aus all diesen Schwierigkeiten entsteht jedoch eine echte Chance für effiziente Prozesse zur Einhaltung und Überwachung der Compliance und IT-Sicherheit. Neben automatisierten Tests zur Funktionalität steht gleichberechtigt ein breites Arsenal an gut integrierten Tools bereit, die Bestandteile und Konfigurationen eines jeden Containers mit definierten Regeln und Standards abgleichen. Erkannte Abweichungen oder Schwachstellen verhindern zuverlässig die Freigabe des Images oder das Deployment des Containers. Dadurch ist schon ab dem ersten Entwicklungsschritt die Einhaltung der Compliance-Anforderungen wirksam durchsetzbar und im laufenden Betrieb ebenso automatisiert überwachbar – am Ende ein echter Gewinn für die Compliance!
von Thilo Rees, Chief Information Security Officer, Continum AG