02/12/2015
Kort en bondig, doch informatief
Of: hoe wij met 100% uptime ons netwerk hebben geüpgraded.
Nieuws
Een compliance officer of CISO moet ervoor zorgen dat veiligheid een integraal onderdeel is van het ontwikkelproces. Dat je veilig en compliant wilt zijn moet intrinsiek aanwezig zijn binnen de gehele organisatie. Niet achteraf, maar tijdens.
DevSecOps is een bewezen strategie die risico’s en beveiligingsincidenten vermindert en tegelijkertijd snellere en veiligere code-implementaties mogelijk maakt. Vroegtijdig security integreren in de software development lifecycle stelt DevOps engineers in staat om continu security issues te monitoren en te verhelpen. Dit draagt bij aan de leveringssnelheid en verbeterde kwaliteit.
Een manier om ervoor te zorgen dat Security en DevOps teams controleren of tooling werkt zoals bedoeld, zonder dat de ontwikkeling vertraging oploopt, is door automatisering. In veel organisaties is dat nog handmatig werk, maar dat is niet schaalbaar.
Met automatisering kan snelheid, wendbaarheid en security gecombineerd worden. Een tool kan automatisch de activiteiten op een platform of applicatie monitoren en het DevOps team waarschuwen bij abnormale activiteiten. Dit helpt met het vroegtijdig adresseren van kwetsbaarheden en fouten voordat er misbruik van wordt gemaakt en om een veilige deployment te waarborgen.
DevOps teams kunnen op deze tools vertrouwen om beleid af te dwingen en te waarschuwen voor problemen die ontstaan als er afgeweken wordt van het beleid.
Een van de toolings die Cyso hiervoor gebruikt is Wazuh, een host intrusion detection system, gebaseerd op OSSEC.
DevOps teams moeten zich bewust zijn van de eisen op het gebied van security en zich hierop aanpassen, terwijl security teams hun werk moeten doen zonder de ontwikkeling of deployment processen te vertragen.
Zero Trust is een filosofie die ervan uitgaat dat je geen mens, apparaat of applicatie moet vertrouwen. Het maakt niet uit of zij binnen of buiten de organisatie staan. Toegang tot je data, platformen of applicaties mag alleen door gerechtvaardigden. Zero Trust gaat dus uit van “never trust, always verify”. Identity and access management (IAM) is hier onderdeel van. Niet iedereen hoeft admin rechten te hebben. Door een IAM implementatie voorkom je dat ongeautoriseerde personen toegang en rechten krijgen die ze eigenlijk niet zouden moeten hebben. Met IAM is dat daarnaast inzichtelijk, controleerbaar en beheersbaar.
Er zijn genoeg open source tools beschikbaar om te voldoen aan jouw specifieke DevOps behoefte. Het zelf bouwen van een (monitoring)tool blijft ook een optie, maar heb je de tijd en kennis daarvoor in huis? En is het snel genoeg klaar voordat er misbruik gemaakt wordt van een kwetsbaarheid?
SaaS producten worden vaak gebruikt, omdat ze schaalbaar zijn en aanpasbaar naar de eisen van het team. Denk bijvoorbeeld aan pentesting tools. Doorlopend pentesten vermindert het aantal uren dat nodig is voor het plannen, beheren en uitvoeren van de testen. Met correct vulnerability management zorg je ervoor dat de meldingen nagelopen worden. Wekelijks een paar meldingen bekijken is makkelijker dan een hele berg risico’s moeten mitigeren. Of als je in alle haast een kwetsbaarheid moet dichten omdat de pentest te laat is uitgevoerd en het al live staat.
Security en DevOps regelen is niet eenvoudig. Met strakke planningen en deployment deadlines is het gemakkelijk voor development om niet zo strak met security bezig te zijn. Het gebrek aan DevOps engineers zorgt voor nog meer druk. Er zijn weinig engineers beschikbaar voor de toenemende werkhoeveelheid. Door werk te automatiseren wordt de werkdruk minder en is er meer tijd voor developers om met kerntaken bezig te zijn. En veilige deployment bespaart daarnaast een hoop zorgen. Niemand zit erop te wachten dat er kwaadwillenden toegang krijgen en veel schade aanrichten. Voorkomen is beter dan genezen. Het automatiseren van DevSecOps loont dus enorm.
De vraag naar DevOps engineers is op een hoogtepunt. De DevOps methode wordt door steeds meer organisaties ingezet om sneller en veiliger software te ontwikkelen. Ben jij op zoek naar Dev(Sec)Ops ondersteuning of advies voor jouw specifieke project? Neem dan contact op met Cyso.