So verwendest du die benutzerdefinierten Compliance Frameworks von GitLab in deiner DevSecOps-Umgebung

Compliance ist mehr als nur ein Kontrollkästchen, sondern vielmehr eine wichtige Unternehmensfunktion, die sich von betrieblichen Risiken bis hin zum Kundenvertrauen auf jeden Bereich auswirkt. Für Entwicklungsteams kann es sich besonders schwierig gestalten, die Compliance-Anforderungen mit einer angemessenen Geschwindigkeit in Einklang zu bringen. Die benutzerdefinierten Compliance Frameworks (nur in englischer Sprache verfügbar) von GitLab ermöglichen eine einfache und direkte Integration der Compliance-Verifizierung in deinen Entwicklungsworkflow. In diesem Artikel erfährst du, worum es sich dabei im Detail handelt und wie du sie so effizient wie möglich einsetzen kannst.

Was sind die benutzerdefinierten Compliance Frameworks von GitLab?

Mit den benutzerdefinierten Compliance Frameworks von GitLab können Unternehmen ihre Compliance-Standards direkt in ihrer GitLab-Instanz definieren, implementieren und durchsetzen. Diese Funktion erweitert die integrierten Compliance-Funktionen von GitLab und ermöglicht den Teams die Erstellung benutzerdefinierter Frameworks, die mit den konkreten gesetzlichen Anforderungen, internen Richtlinien oder Branchenstandards übereinstimmen.

Die benutzerdefinierten Compliance Frameworks bieten folgende Vorteile:

• Weniger manuelle Nachverfolgung
• Schnellere Bereitschaft für Audits
• Native Durchsetzung von Compliance-Kontrollen

Im Rahmen dieser Veröffentlichung werden über 50 standardmäßig verfügbare Kontrollen bereitgestellt (weitere folgen in Kürze), die auf die individuellen Compliance-Anforderungen deines Unternehmens zugeschnitten werden können, einschließlich HIPAA im Gesundheitswesen, DSGVO für den Datenschutz, SOC 2 für Dienstleistungsunternehmen oder branchenspezifische Vorschriften. Einige Beispiele für standardmäßig verfügbare Kontrollen sind unter anderem:

• Aufgabentrennung (z. B. mindestens zwei genehmigende Personen und ein(e) Autor(in) für einen Merge Request)
• Ausführung von Sicherheitsscannern (z. B. SAST (nur in englischer Sprache verfügbar) und Abhängigkeitssuche (nur in englischer Sprache verfügbar)
• Authentifizierung/Genehmigung (z. B. keine öffentliche Projektsichtbarkeit und AuthSSO erforderlich)
• Anwendungskonfiguration (z. B. Statusprüfungen und Terraform erforderlich)

Darüber hinaus kannst du externe Umgebungskontrollen über die GitLab-API konfigurieren, um den Status und die Details einer externen Umgebung zu überprüfen.

Entwickeln eines benutzerdefinierten Compliance Frameworks von Grund auf

Nachdem wir nun den Wert verstanden haben, wollen wir uns im nächsten Schritt ansehen, wie du benutzerdefinierte Compliance Frameworks in deiner GitLab-Umgebung implementieren kannst. Wir verwenden dazu diese Demo-Anwendung. Du kannst den Details in diesem Video folgen.

Hinweis: Dazu ist ein GitLab-Ultimate-Abonnement erforderlich.

Schritt 1: Definiere deine Compliance-Anforderungen

Bevor du dein benutzerdefiniertes Framework erstellst, musst du zunächst deine Compliance-Anforderungen klar definieren:

1. Identifiziere die geltenden Vorschriften: Bestimme, welche Vorschriften und Standards für dein Unternehmen gelten (z. B. DSGVO, PCI DSS und HIPAA).
2. Ordne die Anforderungen den Kontrollen zu: Unterteile jede Vorschrift in konkrete umsetzbare Kontrollen.
3. Priorisiere die Anforderungen: Konzentriere dich auf die Bereiche mit hohem Risiko sowie die Anforderungen mit der größten Wirkung.

Schritt 2: Entwickle dein benutzerdefiniertes Compliance Framework

So entwickelst du ein benutzerdefiniertes Compliance Framework in GitLab:

1. Navigiere in deiner GitLab-Gruppe zum Abschnitt Sichern > Compliance Center.
2. Klicke auf die Schaltfläche Neues Framework.
3. Wähle Leeres Framework erstellen aus.

4. Gib einen Namen, eine Beschreibung und eine Farbe für dein Framework ein.

5. Füge dem Framework eine Anforderung hinzu:
   a. Scrolle nach unten zum Tab Anforderungen.

   b. Klicke auf die Schaltfläche Neue Anforderung.

   c. Gib einen Namen und eine Beschreibung ein. d. Wähle im Abschnitt Kontrollen GitLab-Kontrolle auswählen aus.
   e. Wähle eine Kontrolle aus der Liste aus (z. B. mindestens zwei Genehmigungen, SAST wird ausgeführt).
   f. Klicke auf die Schaltfläche Anforderung erstellen.

6. Klicke auf die Schaltfläche Framework erstellen.

Das Framework wird wie angegeben erstellt und kann nun zu Projekten hinzugefügt werden. Darüber hinaus können Compliance Frameworks mit einem JSON mit dem entsprechenden Schema importiert werden.

Schritt 3: Wende das Framework auf Projekte an

Sobald dein Framework erstellt wurde, gehst du wie folgt vor:

1. Wähle im Compliance Center die Registerkarte Projekte aus.
2. Suche mit dem Suchfeld oder filtere die Ergebnisse.
3. Wähle die Projekte aus, auf die du dein Framework anwenden möchtest.
4. Klicke auf die Schaltfläche Eine Massenaktion auswählen.
5. Wähle Frameworks auf ausgewählte Projekte anwenden aus.
6. Klicke auf die Schaltfläche Frameworks auswählen.
7. Wähle deine Frameworks aus der Liste aus.
8. Klicke auf die Schaltfläche Anwenden.

Das Framework wird nun auf das Projekt angewendet, wodurch seine Anforderungen sichtbar und nachvollziehbar werden.

Schritt 4: Überwache die Compliance und erstelle dazu entsprechende Berichte

Sobald dein Framework eingerichtet ist, kannst du Folgendes tun:

1. Im Compliance Center kannst du den Compliance-Status über alle Projekte hinweg verfolgen, einschließlich Details und vorgeschlagener Korrekturen für fehlgeschlagene Kontrollen.
2. Erstelle Compliance-Berichte für Audits und Stakeholder-Reviews.
3. Richte Compliance-Alarme ein, um die Stakeholder über mögliche Compliance-Probleme zu informieren.
4. Überprüfe Audit Events, um einen Überblick über die Maßnahmen zu erhalten, die im Zusammenhang mit den Compliance-Einstellungen ergriffen wurden.

Praxisbeispiel: Implementierung eines SOC 2 Compliance Frameworks

System and Organization Controls 2, besser bekannt als SOC 2, ist ein strenger Prüfungsstandard, der vom American Institute of Certified Public Accountants entwickelt wurde und die Kontrollen eines Dienstleistungsunternehmens in Bezug auf seine Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und seinen Datenschutz evaluiert. Weitere Informationen findest du in meinem Leitfaden zur Erfüllung der SOC-2-Sicherheitsanforderungen mit GitLab (nur in englischer Sprache verfügbar).

Sehen wir uns nun ein praktisches Beispiel für die Verwendung eines benutzerdefinierten Compliance Frameworks zur Überprüfung der SOC-2-Sicherheits-Compliance an, wo folgende Anforderungen gelten:

• Implementierung von Kontrollen zum Schutz vor unbefugtem Zugriff
• Einrichtung von Verfahren zur Identifizierung und Minderung von Risiken
• Einrichtung von Systemen zur Erkennung von und zum Umgang mit sicherheitsrelevanten Vorfällen

Haftungsausschlussklausel: Dies ist nur ein Beispiel, in dem einige der möglichen Kontrollen zur Einhaltung von SOC 2 aufgezeigt werden. Konsultiere dein Sicherheits-/Compliance-Team, bevor du eine Implementierung in die Produktion überführst.

Ein benutzerdefiniertes Compliance Framework für SOC 2 sieht bei Verwendung einiger standardmäßiger Kontrollen von GitLab wie folgt aus:

• Name: SOC-2-Sicherheitsanforderungen
• Beschreibung: Ergänzt die Sicherheitsanforderungen für die Einhaltung des SOC-2-Frameworks
• Anforderungen:
  • Implementierung von Kontrollen zum Schutz vor unbefugtem Zugriff
    • Aktivierung von Auth SSO
    • Aktivierung des CI/CD-Job-Token-Bereichs
    • MFA auf Organisationsebene erforderlich
  • Richte Verfahren zur Identifizierung und Minderung von Risiken ein
  • Mindestens zwei genehmigende Personen
  • Autor(in) hat den Merge Request genehmigt
  • Die Committer haben den Merge Request genehmigt
  • Standard-Branch ist geschützt
  • Einrichtung von Systemen zur Erkennung von und zum Umgang mit sicherheitsrelevanten Vorfällen
    • Abhängigkeitssuche wird ausgeführt
    • SAST wird ausgeführt
    • DAST wird ausgeführt

Wenn du dieses Framework auf dein(e) Projekt(e) anwendest, kannst du überwachen, ob und wann sie nicht mehr die Compliance-Kriterien erfüllen und was getan werden kann, damit die Erfüllung der Compliance-Kriterien wieder gewährleistet ist. Beachte, dass du mehrere Compliance Frameworks für Projekte erstellen und anwenden kannst. Du kannst zum Beispiel eines für die SOC-2-Anforderungen an die Prozessintegrität implementieren.

Implementiere Sicherheitsrichtlinien, um sicherzustellen, dass die Compliance-Anforderungen erfüllt werden

Obwohl dies nicht erforderlich ist, können Sicherheitsrichtlinien auf Projekte angewendet werden, die ein benutzerdefiniertes Compliance Framework enthalten. So kannst du sicherstellen, dass bestimmte Compliance-Kriterien über Sicherheitsrichtlinien durchgesetzt werden. Du kannst zum Beispiel erzwingen, dass Sicherheitsscanner für Projekte ausgeführt werden, die ein benutzerdefiniertes Compliance Framework enthalten, das einen solchen Sicherheitsscan erfordert.

GitLab bietet verschiedene Sicherheitsrichtlinien (Dokumentation nur in englischer Sprache verfügbar):

• Scan-Ausführungsrichtlinie: Erzwingt Sicherheitsscans, entweder als Teil der Pipeline oder nach einem festgelegten Zeitplan.
• Merge-Request-Approvalrichtlinie: Erzwingt Einstellungen auf Projektebene und Approvalregeln auf Basis der Ergebnisse des Scans.
• Pipeline-Ausführungsrichtlinie: Erzwingt CI/CD-Jobs als Teil von Projekt-Pipelines.
• Richtlinie zum Sicherheitslückenmanagement: Behebt automatisch Sicherheitslücken, die im Standard-Branch nicht mehr erkannt werden.

Wir wollen nun die Ausführung eines SAST-Scanners erzwingen, um automatisch alle Anforderungen zu erfüllen, die einen SAST-Scan erfordern. So erstellst du eine Sicherheitsrichtlinie und wendest sie auf ein Projekt mit einem bestimmten Framework an:

1. Navigiere zu einem Projekt mit einem benutzerdefinierten Compliance Framework, das einen SAST-Scan erfordert.
2. Wähle in der Seitenleiste Sichern > Richtlinien aus.
3. Klicke auf die Schaltfläche Neue Richtlinie.
4. Klicke unter Scan-Ausführungsrichtlinien auf die Schaltfläche Richtlinie auswählen.
5. Gib den Namen und die Beschreibung ein.
6. Wähle unter Aktionen SAST als auszuführenden Scan aus.

7. Wähle unter Bedingungen die Pipeline aus, die ausgelöst werden soll, wenn eine Pipeline für alle Branches ausgeführt wird.

8. Klicke auf die Schaltfläche Mit einem Merge Request konfigurieren.
9. In einem separaten Projekt wird nun ein MR erstellt, der alle Sicherheitsrichtlinien enthält, die für dieses Projekt gelten.
10. Klicke auf die Schaltfläche Zusammenführen.

Jetzt wird SAST für jeden Branch ausgeführt, um sicherzustellen, dass du im jeweiligen Bereich die Compliance-Anforderungen erfüllst. Überprüfe unbedingt die verschiedenen Sicherheitsrichtlinien, um im Detail zu erfahren, wie sie zu deinen Anforderungen passen.

5 Best Practices, die du beachten solltest

So maximierst du den Wert benutzerdefinierter Compliance Frameworks:

1. Fang klein an: Beginne mit einer kritischen Vorschrift oder einem Standard, bevor du sukzessive erweiterst.
2. Beteilige die wichtigsten Stakeholder: Beziehe die Compliance-, Sicherheits- und Entwicklungsteams in die Erstellung des Frameworks ein.
3. Automatisiere, wo möglich: Verwende GitLab CI/CD, um Compliance-Überprüfungen zu automatisieren.
4. Sorge für eine gründliche Dokumentation: Pflege eine klare Dokumentation darüber, wie dein Framework den gesetzlichen Anforderungen entspricht.
5. Regelmäßige Überprüfungen: Aktualisiere deine Frameworks, wenn sich die Vorschriften ändern oder neue Anforderungen entstehen.

Leg noch heute los

Die benutzerdefinierten Compliance Frameworks von GitLab sind ein bedeutender Fortschritt im DevSecOps-Bereich, da mit ihnen die Compliance direkt in den Entwicklungsworkflow integriert wird. Durch die Implementierung benutzerdefinierter Frameworks können Unternehmen ihren Compliance-Aufwand reduzieren, ihr Risikomanagement verbessern und die Entwicklungszyklen beschleunigen, während sie gleichzeitig beständig die gesetzlichen Anforderungen erfüllen.

Durch die Möglichkeit, benutzerdefinierte Compliance Frameworks zu definieren und durchzusetzen, erhalten die Teams die Flexibilität, die sie benötigen, um die Anforderungen ihrer konkreten regulatorischen Landschaft zu erfüllen. Gleichzeitig erhalten sie so die notwendige Struktur, um einheitliche Compliance-Praktiken im gesamten Unternehmen sicherzustellen.

Da die regulatorischen Anforderungen immer komplexer werden, werden Tools wie die benutzerdefinierten Compliance Frameworks von GitLab für Unternehmen, mit denen die umfassenden Compliance-Anforderungen und eine zielführende Entwicklungsgeschwindigkeit auf nachhaltige Weise in Einklang gebracht werden sollen, immer wichtiger.

Melde dich für deine kostenlose 60-tägige Testversion von GitLab Ultimate an, um die benutzerdefinierten Compliance Frameworks noch heute auszuprobieren.

Mehr erfahren

In diesen Ressourcen erfährst du mehr über benutzerdefinierte Compliance Frameworks und ihre Vorteile für dein Unternehmen:

• Dokumentation zu benutzerdefinierten Compliance Frameworks (nur in englischer Sprache verfügbar)
• Epic zu benutzerdefinierten Compliance Frameworks
• Dokumentation der Sicherheitsrichtlinien (nur in englischer Sprache verfügbar)
• Sicherheits- und Compliance-Lösungen von GitLab