Vorwort von Royal Hansen

Seit Jahren habe ich mir gewünscht, dass jemand ein solches Buch schreibt. Seit ihrer Veröffentlichung habe ich die Google Site Reliability Engineering (SRE)-Bücher oft bewundert und empfohlen - daher war ich begeistert, dass ein Buch über Sicherheit und Zuverlässigkeit bereits in Arbeit war, als ich zu Google kam, und ich bin nur zu froh, einen kleinen Beitrag dazu leisten zu können. Seit ich in der Tech-Branche arbeite, habe ich in Unternehmen unterschiedlicher Größe immer wieder erlebt, wie Menschen mit der Frage kämpfen, wie Sicherheit organisiert werden sollte: Soll sie zentralisiert oder föderiert sein? Unabhängig oder eingebettet? Operativ oder beratend? Technisch oder leitend? Die Liste geht weiter....

Als das SRE-Modell und SRE-ähnliche Versionen von DevOps populär wurden, fiel mir auf, dass der Problembereich, den SRE angeht, eine ähnliche Dynamik aufweist wie Sicherheitsprobleme. Einige Unternehmen haben diese beiden Disziplinen zu einem Ansatz namens "DevSecOps" kombiniert.

Sowohl SRE als auch Sicherheit sind stark von klassischen Softwareentwicklungsteams abhängig. Dennoch unterscheiden sich beide in grundlegender Weise von klassischen Softwareentwicklungsteams:

• Site Reliability Engineers (SREs) und Sicherheitsingenieure neigen dazu, nicht nur zu bauen, sondern auch zu reparieren.

• Ihre Arbeit umfasst nicht nur die Entwicklung, sondern auch den Betrieb.

• SREs und Sicherheitsingenieure sind Spezialisten und keine klassischen Softwareentwickler.

• Sie werden oft als Hindernisse und nicht als Ermöglicher angesehen.

• Sie sind häufig isoliert und nicht in Produktteams integriert.

SRE schuf eine Rolle und spezifische Verantwortlichkeiten für eine Reihe von Fähigkeiten, die wir als Analogie zur Rolle des Security Engineers sehen können. SRE hat auch ein Umsetzungsmodell geschaffen, das Teams miteinander verbindet, und das scheint der nächste Schritt zu sein, den die Sicherheitsgemeinschaft gehen muss. Seit vielen Jahren argumentieren meine Kollegen und ich, dass Sicherheit eine erstklassige und eingebettete Qualität von Software sein sollte. Ich glaube, dass die Einführung eines von SRE inspirierten Ansatzes ein logischer Schritt in diese Richtung ist.

Seit meiner Ankunft bei Google habe ich mehr darüber erfahren, wie das SRE-Modell hier eingeführt wurde, wie SRE die DevOps-Philosophien umsetzt und wie sich SRE und DevOps weiterentwickelt haben. In der Zwischenzeit habe ich meine Erfahrungen im Bereich IT-Sicherheit in der Finanzdienstleistungsbranche auf die technischen und programmatischen Sicherheitsfunktionen bei Google übertragen. Diese beiden Sektoren sind nicht unähnlich, aber jeder hat seine eigene Geschichte, die es zu verstehen gilt. Gleichzeitig befinden sich die Unternehmen an einem kritischen Punkt, an dem Cloud Computing, verschiedene Formen des maschinellen Lernens und eine komplizierte Cybersicherheitslandschaft gemeinsam bestimmen, wohin sich die zunehmend digitale Welt entwickelt, wie schnell sie dorthin gelangt und welche Risiken damit verbunden sind.

Seitdem ich die Überschneidungen zwischen Sicherheit und SRE besser verstehe, bin ich mir noch sicherer, dass es wichtig ist, Sicherheitspraktiken gründlicher in den gesamten Lebenszyklus von Software und Datendiensten zu integrieren. Die Natur der modernen Hybrid-Cloud - die größtenteils auf Open-Source-Software-Frameworks basiert, die vernetzte Daten und Microservices anbieten - macht eng integrierte Sicherheits- und Ausfallsicherheitsfunktionen noch wichtiger.

Die betrieblichen und organisatorischen Ansätze für die Sicherheit in großen Unternehmen haben sich in den letzten 20 Jahren dramatisch verändert. Zu den bekanntesten Beispielen gehören vollständig zentralisierte Chief Information Security Officers und Kerninfrastrukturen, die Firewalls, Verzeichnisdienste, Proxys und vieles mehr umfassen - Teams, die auf Hunderte oder Tausende von Mitarbeitern angewachsen sind. Am anderen Ende des Spektrums gibt es föderierte Informationssicherheitsteams, die entweder über die nötige fachliche oder technische Kompetenz verfügen, um eine bestimmte Liste von Funktionen oder Geschäftsabläufen zu unterstützen oder zu steuern. Irgendwo in der Mitte können Ausschüsse, Kennzahlen und gesetzliche Vorschriften die Sicherheitsrichtlinien bestimmen, und eingebettete Security Champions können entweder eine Rolle im Beziehungsmanagement spielen oder Probleme für eine bestimmte Organisationseinheit verfolgen. In letzter Zeit habe ich Teams gesehen, die das SRE-Modell weiterentwickelt haben, indem sie die eingebettete Rolle in eine Art Sicherheitsingenieur für den Standort oder in eine spezielle Agile Scrum-Rolle für spezialisierte Sicherheitsteams umgewandelt haben.

Aus guten Gründen haben sich die Sicherheitsteams in Unternehmen weitgehend auf die Vertraulichkeit konzentriert. Unternehmen erkennen jedoch oft an, dass Datenintegrität und -verfügbarkeit ebenso wichtig sind, und gehen diese Bereiche mit verschiedenen Teams und unterschiedlichen Kontrollen an. Die SRE-Funktion ist ein Best-in-Class-Ansatz für die Zuverlässigkeit. Sie spielt aber auch eine Rolle bei der Echtzeit-Erkennung von und der Reaktion auf technische Probleme - einschließlich sicherheitsrelevanter Angriffe auf privilegierte Zugriffe oder sensible Daten. Letztendlich haben die Ingenieurteams, auch wenn sie oft organisatorisch nach ihren speziellen Fähigkeiten getrennt sind, ein gemeinsames Ziel: die Qualität und Sicherheit des Systems oder der Anwendung zu gewährleisten.

In einer Welt, die von Jahr zu Jahr abhängiger von Technologie wird, kann ein Buch über Sicherheits- und Zuverlässigkeitsansätze, das auf den Erfahrungen bei Google und in der gesamten Branche beruht, einen wichtigen Beitrag zur Weiterentwicklung von Softwareentwicklung, Systemmanagement und Datenschutz leisten. Da sich die Bedrohungslandschaft weiterentwickelt, ist ein dynamischer und integrierter Ansatz zur Verteidigung heute eine Grundvoraussetzung. In meinen früheren Funktionen habe ich mich um eine formellere Erforschung dieser Fragen bemüht; ich hoffe, dass eine Vielzahl von Teams innerhalb und außerhalb von Sicherheitsorganisationen diese Diskussion als nützlich empfinden, während sich Ansätze und Werkzeuge weiterentwickeln. Dieses Projekt hat mich in meiner Überzeugung bestärkt, dass die darin behandelten Themen es wert sind, in der Branche diskutiert und gefördert zu werden - vor allem, weil immer mehr Unternehmen DevOps, DevSecOps, SRE und hybride Cloud-Architekturen sowie die damit verbundenen Betriebsmodelle einführen. Zumindest ist dieses Buch ein weiterer Schritt in der Entwicklung und Verbesserung der System- und Datensicherheit in einer zunehmend digitalen Welt.

Royal Hansen, Vizepräsident, Sicherheitstechnik