Detailstandard 16: Deployment von Softwarelösungen
Zusammenfassung
Dieses Dokument beschreibt im Kapitel Anforderungen die zu erfüllenden Anforderungen in diesem Standardisierungsbereich. Im Kapitel Standardisierung werden vorgegebene Architekturen und Realisierungen beschrieben. Diese stellen eine Konkretisierung der beschriebenen Anforderungen dar. Sind im Kapitel Standardisierung keine Vorgaben enthalten, werden keine Einschränkungen zur Erfüllung der Anforderungen definiert.
Beim "Deployment von Softwarelösungen" sind die folgenden Situationen zu unterscheiden:
- Softwarebetreiber übernimmt eine neue Softwareversion in den Bestand
- Softwarebetreiber stellt eine neue Softwareversion in der DVC bereit: Der Softwarebetreiber stellt hierbei eine vom Softwarelieferanten geforderte Infrastruktur auf der vom Plattformbetreiber bereitgestellten Plattform bereit. Hierbei hält er sich an die regulatorischen Vorgaben des Plattformbetreibers um die Software regelkonform zu betreiben.
Anforderung
Der Detailstandard beschreibt die Anforderung an den Betrieb von Softwarelösungen durch den Softwarebetreiber. Dabei müssen die Anforderungen der Softwarelösung an den Plattformbetreiber durch den Softwarebetreiber definiert werden. Es muss der IT Grundschutzkatalog vom BSI eingehalten und umgesetzt werden.
Für den Betrieb von Softwarelösungen ist es aus Perspektive der Softwarebetreiber sinnvoll, dass auf Ebene der DVC einerseits allgemeine Strukturen bereitgestellt werden und andererseits von individuellen Plattformbetreibern nötige Werkzeuge zur Nutzung bereitgestellt werden.
| ID | Rolle | Modalverb | Detailanforderung |
|---|---|---|---|
| DS_16_A001 | DVC | SOLL | im Rahmen des CSP Ökosystems folgende Elemente liefern: - API-Schnittstellen zum Cloud Service Portal (CSP), um Interaktionen zu automatisieren - Ein zentrales, föderiertes IAM System zur Nutzung für Authorisierung und Authentisierung in der DVC - Anbindungskonzepte, damit alle DVC Teilnehmer sich miteinander verbinden können - Zentrale Repositories für gemeinsam nutzbare Artefakte - Verfahrensvorgaben für Logging, Monitoring und Alerting |
| DS_16_A002 | Plattformbetreiber | MUSS | dem Softwarebetreiber geeignete Schnittstellen zu Verfügung stellen für die Nutzung ihrer bereitgestellten Dienste zur Verwaltung von Infrastruktur / Infrastruktur-Services |
Standardisierung
Der Softwarebetreiber erlangt Kenntnisse über eine neue Softwareversion.
| ID | Rolle | Modalverb | Detailanforderung |
|---|---|---|---|
| DS_16_A003 | Softwarebetreiber | MUSS | den Schutzbedarf der Daten für die eingesetzte Software kennen. |
| DS_16_A004 | Softwarebetreiber | MUSS | die Infrastrukturanforderungen kennen. |
| DS_16_A005 | Softwarebetreiber | MUSS | die Ressourcenanforderungen kennen. |
| DS_16_A006 | Softwarebetreiber | SOLL | sicherstellen, dass Detailstandard 40: "Vorgaben für die Erstellung von containerisierten Softwareprodukten" und Detailstandard 41 "Vorgaben für die Lieferung oder Bereitstellung von containerisierten Softwareprodukten" eingehalten werden. |
| DS_16_A011 | Softwarelieferant | MUSS | sicherstellen, dass in der von ihm zur Verfügung gestellten Softwareversion die Versionierung/das Tagging die folgenden Eigenschaften erfüllt: eindeutig, unveränderbar, nachvollziehbar, erkennbar |
| DS_16_A012 | Softwarelieferant | KANN | für die Vorgaben der vorhergehenden Anforderung DS_16_A011 bezüglich Versionierung / Tagging das IGBvC-Whitepaper "Versionierung und Tagging von Images" zugrunde legen. |
| DS_16_A013 | Softwarebetreiber | MUSS | bei Lieferung einer neuen Version durch den Softwarelieferanten die Eigenschaften "eindeutig, unveränderbar, nachvollziehbar, erkennbar" bei der Versionierung überprüfen und bei Verstößen die Annahme der Lieferung verweigern. |
Der Softwarebetreiber plant die Inbetriebnahme der Software.
| ID | Rolle | Modalverb | Detailanforderung |
|---|---|---|---|
| DS_16_A007 | Softwarebetreiber | SOLL | einen Bauplan (IaC) für das Rollout der Software erstellen. Hierbei MÜSSEN die Vorgaben des Plattformbetreibers und des BSI Grundschutzes berücksichtigt werden. |
| DS_16_A008 | Softwarebetreiber | MUSS | den Plattformbetreibern bei Bedarf eine Architekturskizze im Sinne von a) einer vollständige Konfigurations-Anforderung an die genutzten Infrastrukturkomponenten sowie b) einem vollständigen Netzkommunikationsplan (intern und extern) des Software-Service (Protokolle, Ports, Sourcen, Targets) bereitstellen. |
| DS_16_A009 | Softwarebetreiber | SOLL | den Bauplan (IaC) dem Plattformbetreiber zur Prüfung - ggf. durch Automatisierung - zur Verfügung stellen. |
Der Softwarebetreiber ist für das Rollout der übergebenen Softwareversion verantwortlich.
| ID | Rolle | Modalverb | Detailanforderung |
|---|---|---|---|
| DS_16_A010 | Softwarebetreiber | MUSS | die Verantwortung für das Rollout der übergebenen Softwareversion übernehmen. Dabei muss der BSI Grundschutz zugrundeliegen und die Vorgaben des Plattformbetreibers eingehalten werden. Die Gestaltung des Rollouts obliegt dem Softwarebetreiber. |
Referenzdokumente
| Dokument | Link | |
|---|---|---|
| DVC Detailstandards - (40) Vorgaben für die Erstellung von containerisierten Softwareprodukten | Detailstandard 40: "Vorgaben für die Erstellung von containerisierten Softwareprodukten" | Detailstandard 40 PDF |
| DVC Detailstandards - (41) Vorgaben für die Lieferung oder Bereitstellung von containerisierten Softwareprodukten | Detailstandard 41: "Vorgaben für die Lieferung oder Bereitstellung von containerisierten Softwareprodukten" | Detailstandard 41 PDF |
| IGBvC-Whitepaper Versionierung und Tagging von Images | nur PDF | Whitepaper PDF |
Abkürzungsverzeichnis
| Abkürzung | Bezeichnung |
|---|---|
| IaC | Infrastructure as Code |