Gastbeitrag: Was sind die wichtigsten Trends im Bereich DevOps, die IT-Teams heuer beachten müssen? Klaus Kurz gibt einen Ausblick.
Foto: New Relic
Der Autor Klaus Kurz ist Director Solutions Consulting bei New Relic, einer cloudbasierten Observability-Plattform
1. Security und DevOps gehen jetzt Hand in HandIn Zeiten der COVID-19-Pandemie entsteht für viele Unternehmen, die ihre Mitarbeiter im Home-Office haben, eine neue Herausforderung: Sie müssen DevOps mit IT-Sicherheit verbinden, um ihren Workflow sicherzustellen. Die Vorteile von DevOps, die ständige Auslieferung von Verbesserungen sowie die damit einhergehenden Automatisierungs-Tools werden für DevSecOps genutzt, um Software und Abläufe zu standardisieren. Dadurch können Unternehmen Observability sicherstellen. DevSecOps hat somit viele agile Prozesse von DevOps übernommen. Es gibt aber auch einige wichtige Unterschiede im Entwicklungszyklus. Sicherheitsteams entwickeln Codes, die von Anwendungen gelesen und auf potenzielle Schwachstellen überprüft werden. Anschließend gehen die Codes in eine Sandbox, um dort ein weiteres Mal auf Schwachstellen getestet zu werden. Dieser Workflow ermöglicht es den Entwicklern, sichere Anwendungen zu erstellen. Dabei spielt Observability in zweierlei Hinsicht eine wichtige Rolle: Zum einen hilft Observability Unternehmen dabei, Schwachstellen durch Verhaltensänderungen zu erkennen. Zum anderen trägt Observability dazu bei, Anomalien und Probleme im Code bereits in der Entwicklung zu erkennen. Ziel dabei ist die frühzeitige Erkennung – vorzugsweise bereits in ihrer Staging-Umgebung, oder aber in der Produktionsphase.
Viele Unternehmen interessieren sich für den Einsatz von Observability als Tool zur Verwaltung von Sicherheitsschwachstellen. Im Bereich der Cybersicherheit wurde viel in Netzwerksicherheit, Netzwerkerkennung und -reaktion sowie Mitarbeiter- und Endpunkterkennung und -reaktion investiert. Trotzdem kann Cybersicherheit aufgrund der generellen Entwicklung hin zu Containerisierung und Continuous Deployment nicht alle Prozesse überwachen. Schließlich werden Codes mehrere hundert Male am Tag ausgeliefert. Als mögliche Alternative gerät Application Detection and Response in den Fokus. Observability kann mit Hilfe von maschinellem Lernen dahingehend ausgebaut werden, dass zusätzlich zur Erkennung von Problemen wie Anstiege der Latenzzeit auch Angriffe und Schwachstellen im System erkannt und nachverfolgt werden können. Damit wird ADR zu einem zusätzlichen Hilfsmittel für DevSecOps.
Analysten diskutieren seit Kurzem über eine Erweiterung und konsequente Weiterentwicklung der Customer Experience. Total Experience bezieht nicht nur die Erfahrung des Kunden ein, sondern auch die User Experience und die Erfahrungen der Mitarbeiter. Unternehmen, die diese drei Bereiche vereinen und gemeinsam betrachten, sollen laut Gartner einen klaren Wettbewerbsvorteil 2021 und darüber hinaus verzeichnen.
Die Cloud ist hier ein gutes Beispiel. Sie schenkt Unternehmen die Möglichkeit flexibel zu skalieren, Ausfälle abzusichern sowie Verfügbarkeit und geographische Reichweite zu erhöhen. Der Nachteil ist, dass die Cloud alleine keine End-to-End-Sicht liefert, die Aufschluss darüber geben kann, wie man Endnutzer und Kunden glücklich macht.
Es ist nicht zielführend, dass Unternehmen ihre Architektur, APIs und Front-End gesondert zu betrachten. Sie müssen das gesamte End-to-End-Erlebnis verstehen und verinnerlichen, wie die einzelnen Teile interagieren und miteinander kommunizieren. Nach wie vor haben viele Organisationen getrennte Teams, die die Leistung des Front-Ends und des Back-Ends verwalten, ohne eine End-to-End-Sicht zu haben. Das hindert aber Unternehmen daran, zu erfahren, was mit ihren Kunden wirklich passiert.
Es ist nicht davon auszugehen, dass KI in den nächsten fünf Jahren den Menschen im Software Reliability Engineering ersetzen wird. Dazu gibt es eine zu große Variabilität bei Anwendungsfällen, Konfigurationen und Architekturen. Der Mensch bleibt absolut zentral in dieser Gleichung. Nichtsdestotrotz wird KI die SRE-Teams ergänzen, damit sie aus diesen sehr komplexen Architekturen noch mehr Erkenntnisse ziehen können. Bei Tausenden von Microservices, Hunderten von Releases pro Tag und Hunderttausenden von Containern gibt es keine Möglichkeit, dass das menschliche Auge mit dieser Komplexität zurechtkommt. KI ist nicht nur ein "nice to have", wenn es um proaktive Erkennung und Incident Intelligence geht. Es geht wirklich darum, dass Unternehmen SRE-Teams mit den Tools ausstatten, die sie benötigen, um ihre Arbeit effektiv zu erledigen.
