CVE-Management: Minimierung von Risiken in einer Private-Cloud-Umgebung

Das Projekt zielte darauf ab, eine Reihe komplexer Herausforderungen in den Bereichen DevOps, Migration und Sicherheit für eine Organisation im öffentlichen Sektor zu bewältigen.

Anfängliche Schwierigkeiten wie ein Mangel an DevOps-Kenntnissen und fehlende Schnittstellen zwischen verschiedenen Systemen, komplizierten die Durchführung. Eine Kernmaßnahme bestand in der Standardisierung und Migration der Infrastruktur in eine private Cloud-Umgebung. Weitere Schritte umfassten die Automatisierung von Prozessen und die Einführung neuer Entwicklungstools, um sowohl die Entwicklungs- als auch die Betriebsabläufe effizienter zu gestalten. Darüber hinaus wurden interne Schulungsprogramme implementiert, um das Know-how im Umgang mit den neu eingeführten Technologien wie OpenShift und Java Spring Boot im gesamten Team zu erhöhen und im Bereich Sicherheit konnten durch das CVE-Management potenzielle Risiken minimiert werden.

Das Resultat: Eine erhöhte Systemintegrität, eine optimierte Ressourcenallokation und eine verbesserte innerbetriebliche Abstimmung. Die eingesetzten Qualitätskontrolltools und Feedback-Mechanismen tragen des Weiteren dazu bei, die Qualität der entwickelten Lösungen kontinuierlich zu überwachen und zu verbessern.

Insgesamt betrachtet, hat das gesamte Projekt von den neuen Technologien sowohl technisch, als auch geschäftlich profitiert und die Basis für eine agile und sichere IT-Infrastruktur geschaffen.

Mangel an DevOps-Kenntnissen und Koordination zwischen mehreren Abteilungen: Das Projektteam verfügte zum Projektbeginn über lückenhafte DevOps-Kenntnisse, was die Abstimmung mit anderen Abteilungen erheblich erschwerte. Die fehlende Erfahrung im containerisierten Umfeld trug zur Verzögerung in der Umsetzung bei.

Migration, Sicherheit und Fehlende Schnittstellen: Die Migration in die private Cloud-Umgebung war komplex, und fehlende Schnittstellen erforderten spezielle Lösungsansätze, um eine Kommunikation zwischen zwei Hauptsystemen zu gewährleisten. Zudem mussten hohe Sicherheitsstandards eingehalten werden, um potenzielle Sicherheitsrisiken zu minimieren.

Partielle Infrastruktur und Ressourcenmanagement: Die anfangs nur teilweise vorhandene Infrastruktur stellte eine Herausforderung für das Ressourcenmanagement und die Implementierung neuer Technologien dar. Dies erforderte zusätzliche Zeit und Fachkenntnisse für den Aufbau einer voll funktionsfähigen Umgebung.

Skalierung und Fehlendes Know-How in Applikationsteams: Das enge Zeitfenster für die Entwicklung und die Skalierung des Systems erforderten eine hohe Flexibilität des Teams. Das fehlende Know-How in den Applikationsteams führte zu zusätzlichen Schulungs- und Abstimmungsaufwänden.

Sicherheitsrisiken: Die Übergabe des Projekts an die Behörde war komplex und erforderte strukturierte Übergabeprozesse. Hohe Kundenerwartungen in Bezug auf Systemverfügbarkeit und Datensicherheit mussten erfüllt werden, während gleichzeitig potenzielle Sicherheitsrisiken adressiert wurden.

Standardisierung und Migration der Infrastruktur: Die Infrastruktur wurde zunächst standardisiert, um eine reibungslose Migration in die private Cloud-Umgebung zu gewährleisten. Dies legte den Grundstein für eine erfolgreiche technische Integration zwischen den beiden Umgebungen und ermöglichte die Entwicklung einer privaten Cloud-Infrastruktur für den öffentlichen Sektor.

Automatisierung und Entwicklungsoptimierung: Hauptaugenmerk lag auf der Automatisierung der Prozesse. Durch die eingeführten Automatisierungen konnte eine schnellere und resilientere Entwicklung stattfinden als im Altsystem. Dies beinhaltete die Entwicklung von Helm-Charts und den Aufbau einer Jenkins-Pipeline für die Migration von Sourcecode. Außerdem wurden statische Code Analysen durch Tools implementiert, die durch sofortiges Feedback an den Entwickler, schnellere und einfache Entwicklungsprozesse ermöglichten.

Optimierung des Betriebs: Der Betrieb und die Umsetzung der Anforderungen wurden durchdacht geplant. Dazu gehörte auch die Planung der Operations-Komponenten der anstehenden Releases, die es ermöglichte, sowohl die Entwicklung als auch den Betrieb effizient zu gestalten. In Zusammenspiel mit anderen Abteilungen konnte so ein sicherer Release durchgeführt werden.

Enablement und Interne Schulungen: Mehrere Abteilungen innerhalb der Organisation wurden befähigt, die neuen Tools und Prozesse effizient zu nutzen. Dies schloss die Schulung in der Nutzung von OpenShift und anderen Technologien ein.

Sicherheitsmanagement: Das Management und die Überwachung von Sicherheitslücken (CVE Management) wurde durchgeführt, um die Applikationen und Systeme abzusichern. Dies minimierte potenzielle Sicherheitsrisiken und erhöhte die Systemintegrität.

Feedback-Mechanismen und Qualitätskontrolle: Industriestandardisierte Feedback-Mechanismen wurden implementiert, darunter statische Code Analysen im Build, automatische Deployments unter bestimmten Bedingungen und Reports der angehangen Sicherheitstools. Dadurch konnte die Qualität der entwickelten Lösungen kontinuierlich überwacht und verbessert, und modernen DevOps-Prinzipien eingehalten werden.

• Java Spring Boot

• OpenShift

• Jenkins

• Helm

• Ansible

• Nexus / Harbor

• SonarQube

• sonartype nexus

• Trivy