Nieuws

Van DevOps naar DevSecOps

Van DevOps naar DevSecOps

Je wordt er mee doodgegooid, maar cybercrime neemt nog steeds toe. Het integreren en automatiseren van security in het DevOps proces is een logisch vervolg. De verschuiving van DevOps naar DevSecOps zal in 2022 nog meer toenemen.

Een compliance officer of CISO moet ervoor zorgen dat veiligheid een integraal onderdeel is van het ontwikkelproces. Dat je veilig en compliant wilt zijn moet intrinsiek aanwezig zijn binnen de gehele organisatie. Niet achteraf, maar tijdens.

DevSecOps is een bewezen strategie die risico’s en beveiligingsincidenten vermindert en tegelijkertijd snellere en veiligere code-implementaties mogelijk maakt. Vroegtijdig security integreren in de software development lifecycle stelt DevOps engineers in staat om continu security issues te monitoren en te verhelpen. Dit draagt bij aan de leveringssnelheid en verbeterde kwaliteit.

Gebruik automatisering

Een manier om ervoor te zorgen dat Security en DevOps teams controleren of tooling werkt zoals bedoeld, zonder dat de ontwikkeling vertraging oploopt, is door automatisering. In veel organisaties is dat nog handmatig werk, maar dat is niet schaalbaar.

Met automatisering kan snelheid, wendbaarheid en security gecombineerd worden. Een tool kan automatisch de activiteiten op een platform of applicatie monitoren en het DevOps team waarschuwen bij abnormale activiteiten. Dit helpt met het vroegtijdig adresseren van kwetsbaarheden en fouten voordat er misbruik van wordt gemaakt en om een veilige deployment te waarborgen.

DevOps teams kunnen op deze tools vertrouwen om beleid af te dwingen en te waarschuwen voor problemen die ontstaan als er afgeweken wordt van het beleid.

Een van de toolings die Cyso hiervoor gebruikt is Wazuh, een host intrusion detection system, gebaseerd op OSSEC.

DevOps teams moeten zich bewust zijn van de eisen op het gebied van security en zich hierop aanpassen, terwijl security teams hun werk moeten doen zonder de ontwikkeling of deployment processen te vertragen.

Zero Trust architectuur

Zero Trust is een filosofie die ervan uitgaat dat je geen mens, apparaat of applicatie moet vertrouwen. Het maakt niet uit of zij binnen of buiten de organisatie staan. Toegang tot je data, platformen of applicaties mag alleen door gerechtvaardigden. Zero Trust gaat dus uit van “never trust, always verify”. Identity and access management (IAM) is hier onderdeel van. Niet iedereen hoeft admin rechten te hebben. Door een IAM implementatie voorkom je dat ongeautoriseerde personen toegang en rechten krijgen die ze eigenlijk niet zouden moeten hebben. Met IAM is dat daarnaast inzichtelijk, controleerbaar en beheersbaar.

Probeer niet zelf het wiel uit te vinden

Er zijn genoeg open source tools beschikbaar om te voldoen aan jouw specifieke DevOps behoefte. Het zelf bouwen van een (monitoring)tool blijft ook een optie, maar heb je de tijd en kennis daarvoor in huis? En is het snel genoeg klaar voordat er misbruik gemaakt wordt van een kwetsbaarheid?

SaaS producten worden vaak gebruikt, omdat ze schaalbaar zijn en aanpasbaar naar de eisen van het team. Denk bijvoorbeeld aan pentesting tools. Doorlopend pentesten vermindert het aantal uren dat nodig is voor het plannen, beheren en uitvoeren van de testen. Met correct vulnerability management zorg je ervoor dat de meldingen nagelopen worden. Wekelijks een paar meldingen bekijken is makkelijker dan een hele berg risico’s moeten mitigeren. Of als je in alle haast een kwetsbaarheid moet dichten omdat de pentest te laat is uitgevoerd en het al live staat.

Van DevOps naar DevSecOps gaan is de moeite waard

Security en DevOps regelen is niet eenvoudig. Met strakke planningen en deployment deadlines is het gemakkelijk voor development om niet zo strak met security bezig te zijn. Het gebrek aan DevOps engineers zorgt voor nog meer druk. Er zijn weinig engineers beschikbaar voor de toenemende werkhoeveelheid. Door werk te automatiseren wordt de werkdruk minder en is er meer tijd voor developers om met kerntaken bezig te zijn. En veilige deployment bespaart daarnaast een hoop zorgen. Niemand zit erop te wachten dat er kwaadwillenden toegang krijgen en veel schade aanrichten. Voorkomen is beter dan genezen. Het automatiseren van DevSecOps loont dus enorm.

Dev(Sec)Ops ondersteuning nodig? DevOps on Demand van Cyso versnelt jouw software development lifecycle.

De vraag naar DevOps engineers is op een hoogtepunt. De DevOps methode wordt door steeds meer organisaties ingezet om sneller en veiliger software te ontwikkelen. Ben jij op zoek naar Dev(Sec)Ops ondersteuning of advies voor jouw specifieke project? Neem dan contact op met Cyso.

Wil je op de hoogte blijven van de laatste ontwikkelingen op IT gebied. Meld je dan hier aan voor de nieuwsbrief.

Benieuwd naar de mogelijkheden? Let’s talk!

Cyso stories

11/10/2016

In de schaduw van de DDoS aanval: minder zichtbare vormen van cyberaanvallen

Over de inzet van de Nationale anti-DDoS Wasstraat (NaWas) schreven wij in het verleden al. Er zijn echter meer aanvalsvormen die minder in het nieuws zijn.
03/03/2021

De implementatie van identity and access management

Een van de concepten binnen Security By Design is het vaststellen van de identiteit van gebruikers en het veilig verlenen van toegang en rechten.
High availability omgevingen voor e-commerce
03/07/2020

High availability omgevingen voor e-commerce

Wat is nodig om de uptime van applicaties te vergroten en de totale kosten van uitval te minimaliseren? Waar moet je op letten om een high availability omgeving te realiseren?

Interesse in een van onze diensten?

Wat is je vraag? Neem nu contact met ons op.

Wil je dat wij contact met jou opnemen? Laat je gegevens achter en wij bellen je terug.

Cyso contact