Mehr Sicherheit für Software-Bereitstellung: gehärtete Version von Cloudbees CI
Bundesbehörden müssen neue Software-Lösungen häufig in kurzer Zeit bereitstellen. Sie wollen deshalb Entwicklungs-Prozesse automatisieren, um den Aufbau neuer Anwendungen zu beschleunigen und dringend benötigte Funktionen zu bestehenden Anwendungen hinzuzufügen. Richtlinien zur Informationssicherung schränken sie dabei jedoch ein. Diese verlangen, dass CI-Tools erweiterte Sicherheitszertifizierungen bestehen müssen. Die gehärtete Version von Cloudbees CI bietet einen Container, der ein „Certificate to Field“ (CtF) vom Platform-One-Team der US Air Force erhalten hat. Platform One ist das offizielle DevSecOps-Enterprise-Services-Team für das DoD.
Ein CtF ist eine formelle Zertifizierung, die vom Platform-One-Team der U.S. Air Force erteilt wird. Software-Container, die ein CtF erhalten, können für den Einsatz einer Plattform in einer bestimmten Umgebung verwendet werden, die eine Betriebsgenehmigung (Authority to Operate, ATO) erhalten hat. Eine ATO-Zertifizierung wiederum bedeutet, dass eine Plattform die Sicherheitsstandards erfüllt, die in den Richtlinien der DISA STIG und in der NIST RMF festgelegt sind. Platform One liefert Plattformen, die bereits zugelassen sind und nur Software in Containern mit einem genehmigten CtF verwenden können.
„Mit dem CtF kann die CI von Cloudbees sowohl von DoD-Behörden als auch von zivilen Behörden und bundesstaatlichen Systemintegratoren problemlos genutzt werden“, erklärt Michael Wright, Direktor für Behördenlösungen bei Cloudbees. „Dies bietet alle Vorteile von CI in einer Jenkins-Umgebung und erfüllt strenge staatliche Standards zu Sicherheit und Compliance.“
Cloudbees CI baut auf Jenkins auf, dem weltweit meistgenutzten Automatisierungsserver. Die neue Version bietet ein flexibles, geregeltes CI. Gehostet werden kann sie vor Ort, in der öffentlichen Cloud oder in einer hybriden Umgebung. Mit Cloudbees CI können Unternehmen und Softwareentwicklungs-Tools verwalten, die Softwarebereitstellungsgeschwindigkeit optimieren, die Effizienz der Entwicklerteams maximieren und Compliance-Richtlinien einhalten.
„Das Verteidigungsministerium räumt der Software-Bereitstellung höchste Priorität ein. DevSecOps-Anbieter wie CloudBees, die sich gemäß DoD-Standards autorisieren lassen, unterstützen die Enterprise-DevSecOps-Initiative des Verteidigungsministeriums“, sagte Nic Chaillan, Chief Software Officer der U.S. Air Force und einer der Leiter der Enterprise-DevSecOps-Initiative des DoD. „Das Ziel dieser Initiative ist es, DoD-Programme bei ihrem Übergang zu agilen und DevSecOps-Programmen zu unterstützen. Wir wollen truppenweite DevSecOps-Fähigkeiten und bewährte Verfahren etablieren sowie kontinuierliche ATO-Prozesse und eine schnellere, stärker gebündelte Technologieübernahme fördern.“
Cloudbees CI stellt ein gefestigtes Docker-Container-Image zur Verfügung, das im Department of Defense Centralized Artifact Repository (DCAR) abgelegt wird, der vom U.S.-Verteidigungsministerium verwalteten Speicherstätte. Teams aller DoD- oder Zivilbehörden können auf das gefestigte Image des Docker-Containers zugreifen und es einfach aus DCAR herausziehen. Diese Lösung wurde so konzipiert, dass die Verwendung von Bibliotheken oder Komponenten, die bekannte Sicherheitslücken aufweisen, auf ein Minimum reduziert wird. Wenn ein Team beispielsweise eine Bibliothek verwendet, um eine Http-Kommunikation zwischen einem Cloudbees-CI-Master und -Agenten auszuführen, stellt die Funktionalität innerhalb des Cloudbees CI sicher, dass an beiden Enden sichere Ports und Protokolle verwendet werden.
Die neue gehärtete Version von Cloudbees CI kann nicht nur Behörden bei der Umstellung auf sichere DevSecOps-Prozesse helfen, sondern auch Unternehmen, die in stark regulierten Branchen tätig sind oder sich einfach mehr Sicherheit wünschen.
Zusätzliche Ressourcen:
- Hören Sie sich diesen Podcast an, von DevOps-Radio mit Nicholas Chaillan, Chief Software Officer der U.S. Air Force
- Cloudbees CI kostenlos ausprobieren
- Erfahren Sie mehr über Cloudbees CI
- Lesen Sie diesen Blog-Beitrag zu DevSecOps
- Lesen Sie in diesem Blogbeitrag, wie DevSecOps Regierungsinstitutionen dabei hilft, Continuous ATO zu erreichen.
- Erfahren Sie, wie Cloudbees Regierungsbehörden helfen kann
CloudBees bietet mit der CloudBees Suite das weltweit erste End-to-End-System zur Automatisierung der Software Delivery. Die Suite baut auf den neuen DevOps-Praktiken und der Automatisierung von Continuous Integration (CI) und Continuous Delivery (CD) auf und fügt Governance, Transparenz und die notwendigen Erkenntnisse hinzu, die für eine optimale Effizienz und Kontrolle neuer Risiken erforderlich sind. Da Software in der Industrie mehr und mehr eine zentrale Rolle spielt, wird dieses neue automatisierte Software-Delivery-System eine wichtige Komponente für den Erfolg eines modernen Unternehmens werden. Als einer der Marktführer im Bereich CI/CD ist CloudBees in der Lage, die Kategorie der automatisierten Software Delivery mitzubestimmen. CloudBees unterstützt Unternehmen dabei, Geschäftsideen in hochwertige Software umzuwandeln.
Unterstützt von Matrix Partners, Lightspeed Venture Partners, Verizon Ventures, Delta-v Capital, Golub Capital und Unusual Ventures, wurde CloudBees 2010 von dem ehemaligen JBoss CTO Sacha Labourey und einem Team von Experten für Continuous Integration, Continuous Delivery und DevOps gegründet. Folgen Sie CloudBees auch auf Twitter, Facebook, LinkedIn and Google+.
CloudBees, Inc
400 TradeCenter, Suite 4950
USAMA 01801 Woburn
Telefon: +1 (781) 404-5100
http://www.cloudbees.com/
AxiCom GmbH
Telefon: +49 (89) 8009-0814
E-Mail: marcus.birke@axicom.com