Nieuws

Van DevOps naar DevSecOps

Van DevOps naar DevSecOps

Je wordt er mee doodgegooid, maar cybercrime neemt nog steeds toe. Het integreren en automatiseren van security in het DevOps proces is een logisch vervolg. De verschuiving van DevOps naar DevSecOps zal in 2022 nog meer toenemen.

Een compliance officer of CISO moet ervoor zorgen dat veiligheid een integraal onderdeel is van het ontwikkelproces. Dat je veilig en compliant wilt zijn moet intrinsiek aanwezig zijn binnen de gehele organisatie. Niet achteraf, maar tijdens.

DevSecOps is een bewezen strategie die risico’s en beveiligingsincidenten vermindert en tegelijkertijd snellere en veiligere code-implementaties mogelijk maakt. Vroegtijdig security integreren in de software development lifecycle stelt DevOps engineers in staat om continu security issues te monitoren en te verhelpen. Dit draagt bij aan de leveringssnelheid en verbeterde kwaliteit.

Gebruik automatisering

Een manier om ervoor te zorgen dat Security en DevOps teams controleren of tooling werkt zoals bedoeld, zonder dat de ontwikkeling vertraging oploopt, is door automatisering. In veel organisaties is dat nog handmatig werk, maar dat is niet schaalbaar.

Met automatisering kan snelheid, wendbaarheid en security gecombineerd worden. Een tool kan automatisch de activiteiten op een platform of applicatie monitoren en het DevOps team waarschuwen bij abnormale activiteiten. Dit helpt met het vroegtijdig adresseren van kwetsbaarheden en fouten voordat er misbruik van wordt gemaakt en om een veilige deployment te waarborgen.

DevOps teams kunnen op deze tools vertrouwen om beleid af te dwingen en te waarschuwen voor problemen die ontstaan als er afgeweken wordt van het beleid.

Een van de toolings die Cyso hiervoor gebruikt is Wazuh, een host intrusion detection system, gebaseerd op OSSEC.

DevOps teams moeten zich bewust zijn van de eisen op het gebied van security en zich hierop aanpassen, terwijl security teams hun werk moeten doen zonder de ontwikkeling of deployment processen te vertragen.

Zero Trust architectuur

Zero Trust is een filosofie die ervan uitgaat dat je geen mens, apparaat of applicatie moet vertrouwen. Het maakt niet uit of zij binnen of buiten de organisatie staan. Toegang tot je data, platformen of applicaties mag alleen door gerechtvaardigden. Zero Trust gaat dus uit van “never trust, always verify”. Identity and access management (IAM) is hier onderdeel van. Niet iedereen hoeft admin rechten te hebben. Door een IAM implementatie voorkom je dat ongeautoriseerde personen toegang en rechten krijgen die ze eigenlijk niet zouden moeten hebben. Met IAM is dat daarnaast inzichtelijk, controleerbaar en beheersbaar.

Probeer niet zelf het wiel uit te vinden

Er zijn genoeg open source tools beschikbaar om te voldoen aan jouw specifieke DevOps behoefte. Het zelf bouwen van een (monitoring)tool blijft ook een optie, maar heb je de tijd en kennis daarvoor in huis? En is het snel genoeg klaar voordat er misbruik gemaakt wordt van een kwetsbaarheid?

SaaS producten worden vaak gebruikt, omdat ze schaalbaar zijn en aanpasbaar naar de eisen van het team. Denk bijvoorbeeld aan pentesting tools. Doorlopend pentesten vermindert het aantal uren dat nodig is voor het plannen, beheren en uitvoeren van de testen. Met correct vulnerability management zorg je ervoor dat de meldingen nagelopen worden. Wekelijks een paar meldingen bekijken is makkelijker dan een hele berg risico’s moeten mitigeren. Of als je in alle haast een kwetsbaarheid moet dichten omdat de pentest te laat is uitgevoerd en het al live staat.

Van DevOps naar DevSecOps gaan is de moeite waard

Security en DevOps regelen is niet eenvoudig. Met strakke planningen en deployment deadlines is het gemakkelijk voor development om niet zo strak met security bezig te zijn. Het gebrek aan DevOps engineers zorgt voor nog meer druk. Er zijn weinig engineers beschikbaar voor de toenemende werkhoeveelheid. Door werk te automatiseren wordt de werkdruk minder en is er meer tijd voor developers om met kerntaken bezig te zijn. En veilige deployment bespaart daarnaast een hoop zorgen. Niemand zit erop te wachten dat er kwaadwillenden toegang krijgen en veel schade aanrichten. Voorkomen is beter dan genezen. Het automatiseren van DevSecOps loont dus enorm.

Dev(Sec)Ops ondersteuning nodig? DevOps on Demand van Cyso versnelt jouw software development lifecycle.

De vraag naar DevOps engineers is op een hoogtepunt. De DevOps methode wordt door steeds meer organisaties ingezet om sneller en veiliger software te ontwikkelen. Ben jij op zoek naar Dev(Sec)Ops ondersteuning of advies voor jouw specifieke project? Neem dan contact op met Cyso.

Wil je op de hoogte blijven van de laatste ontwikkelingen op IT gebied. Meld je dan hier aan voor de nieuwsbrief.

Benieuwd naar de mogelijkheden? Let’s talk!

Cyso stories

02/12/2015

Kort en bondig, doch informatief

Of: hoe wij met 100% uptime ons netwerk hebben geüpgraded.
04/03/2016

Beter service management met ISO 20000

Halverwege februari was het weer tijd voor de jaarlijkse audit in het kader van onze ISO 27001 certificering.
24/08/2020

Kubernetes worker nodes: hoeveel en hoe groot?

Hoe bepaal je wat voor jouw situatie een geschikte Kubernetes setup is? In dit vervolgartikel gaan we daar dieper op in.

Interesse in een van onze diensten?

Wat is je vraag? Neem nu contact met ons op.

Wil je dat wij contact met jou opnemen? Laat je gegevens achter en wij bellen je terug.

Cyso contact