Om voorop te blijven en te profiteren van nieuwe technologieën, gebruiken DevOps-teams vaak een amalgaam van IT-tools, beveiligingstools en infrastructuurcomponenten. Maar meer oplossingen geven hackers meer potentiële ingangspunten om in te breken. Ontdek wat DevSecOps hieraan kan doen.
Supply chain attacks maken slachtoffers
Software aanvallen op supply chains komen steeds vaker voor. Cybercriminelen hebben het hierbij behoorlijk gemakkelijk. Ze hoeven slechts software van derden of vrij beschikbare upstream-softwarebibliotheken en componenten te downloaden en kunnen plots duizenden bedrijven en organisaties tegelijk hacken.
In 2020 zagen we een van de grootste cyberaanvallen op een softwareketen. Toen verspreidde kwaadaardige code die in een software-update van SolarWinds was geschreven, zich via Amerikaanse federale overheidsdiensten. Vervolgens infecteerde die wereldwijd zo’n 18.000 organisaties. In maart 2021, werden meer dan 20.000 organisaties gecompromitteerd via een kwetsbaarheid in Microsoft Exchange Server.
Het gevaar van aanvallen via de softwareleveringsketen is zo groot geworden dat het Witte Huis bijkomende maatregelen neemt via een nieuwe Executive Order: “The United States needs resilient, diverse, and secure supply chains to ensure our economic prosperity and national security.” Daarmee definiëren ze perfect wat ook elke onderneming nodig heeft om zijn welvaart veilig te stellen.
Maar…. we stellen vast dat complexe software onvermijdelijk én noodzakelijk is voor veel ondernemingen. De vraag die zich dan stelt: Hoe gaan bedrijven beter om met deze cybersecuritybedreiging?
De oplossing? Cybersecurity integreren
De oplossing ligt in het omarmen van dezelfde ideeën, processen en hulpmiddelen die DevOps zo succesvol gemaakt hebben. Dit in combinatie met het integreren van cyberbeveiliging in mensen, processen en technologieën. Via deze twee realistische maatregelen, wordt beveiliging een fundamenteel en continu onderdeel van de levenscycli van applicaties en infrastructuur. Kortom, ze creëren een DevSecOps-cultuur.
We gaan even terug in de tijd, naar de opkomst van DevOps. Die was revolutionair. Door het automatiseren van de processen tussen ontwikkel- en operationele teams konden ontwikkelaars software van hoge kwaliteit maken, terwijl operationele teams doorlopend konden leveren aan een consistente kwaliteit. Door dit proces te automatiseren, werkten beide teams elkaar helemaal in hun workflow in, waardoor ze voluit voor hun eigen sterke punten konden gaan.
Deze benadering werkt zeer goed vandaag. Bovendien kunnen we ze perfect toepassen op beveiliging. Hier ontstaat het concept van DevSecOps.
In plaats van dat beveiliging het vijfde wiel aan de wagen van DevOps is, moet beveiliging een integraal, bijna onmerkbaar onderdeel van diezelfde workflow worden. Dit vereist dat interacties tussen beveiliging en DevOps worden geautomatiseerd. Zo wordt als vanzelf de heilige drievuldigheid van kwaliteitssoftware, continue service en hoge beveiliging geleverd.
Maar wat betekent dit concept in de praktijk?
Om DevSecOps te begrijpen, moet je weten welke drie belangrijke technieken het mogelijk maken: automatisering, open standaarden en zero trust architectuur.
Techniek 1: Automatisering
Automatisering is het hart en de basis van DevSecOps, net zoals bij DevOps. Automatisering maakt consistente, herhaalbare processen mogelijk die de interacties tussen ontwikkeling, IT-infrastructuur en beveiligingsteams vereenvoudigen.
De reden dat DevSecOps zelfs maar door teams overwogen kan worden is vanwege ons toegenomen vermogen om workflows te automatiseren. Daarnaast stelt automatisering je in staat de beveiliging gedurende de gehele levenscyclus van applicaties te automatiseren.
Door gemeenschappelijke, geautomatiseerde workflows te creëren die beveiligingstools en -controles in de applicatie- en implementatieprocessen inbrengen, kunnen teamleden in elke fase goedgekeurde beveiligingscontroles uitvoeren. Hierdoor wordt beveiliging en consistentie vanaf het begin in applicaties ingebouwd.
Dit breekt de logistieke en technische barrières af die beveiligingsteams op afstand hielden van DevOps-teams. Ze worden nu naadloos opgenomen zonder de prestaties van DevOps-teams in gevaar te brengen.
Techniek 2: Open standaarden
Zoals in elk gespecialiseerd ecosysteem, hebben beveiligingsprofessionals hun eigen platforms en taal ontwikkeld om processen en technieken uit te voeren en te beschrijven. Om DevSecOps te doen slagen, moeten de behoeften en vereisten van beveiligings- en DevOps-teams gemakkelijk tussen elkaar kunnen worden vertaald.
Open standaarden en open source tools zijn hier de beste middelen voor. In tegenstelling tot closed software, waarbij derden geen toegang hebben tot de code, helpen open source software en applicaties bij het standaardiseren van de platforms en talen die zullen worden gebruikt door toekomstige DevSecOps-teams. Zo kunnen DevOps- en beveiligingsteams werken met behulp van compatibele platforms op een manier die consistent én begrijpelijk is voor elkaar. Dit bespaart tijd en vermindert het risico op fouten die vandaag wel worden gemaakt bij het vertalen van workflows tussen teams.
Techniek 3: Zero trust architectuur
Ons doel is ervoor zorgen dat de technische structuur van een bedrijf niet kan worden gecompromitteerd door meer dan één falende beveiliging. Zelfs als een cybercrimineel inloggegevens, databaselocaties en IP-adressen bemachtigt – wat bij ernstige aanvallen vaak het geval is – mag hij geen toegang krijgen tot het verdere systeem of netwerk.
Dit lukt met een ‘zero trust’-beveiligingsaanpak die ontdekt wanneer traditionele netwerkperimeters en impliciete trust-modellen gegevens, bedrijfsmiddelen of werklasten niet adequaat beschermen. Zero trust maakt het mogelijk om netwerken automatisch te segmenteren om te voorkomen dat een inbreuk op een netwerk wordt uitgebuit. In plaats van ervan uit te gaan dat alles of iedereen binnen het IT-netwerk te vertrouwen is, gooit zero trust het om. Het gaat uit van het tegenovergestelde. Het bouwt een beveiligingsomgeving op rond de concepten van deperimeterization en minimale privileges.
Het gevolg is dat de toestemmingen hyperfijn zijn, waardoor één inbreuk op één netwerklocatie daar beperkt zal blijven. Tegelijkertijd zorgt de automatisering van zero trust er ook voor dat reguliere werkprocessen niet verstoord worden door legitieme gebruikers snel een ruime toegang te geven om hun werk te doen.
Start met een DevSecOps-cultuur
Alles bij elkaar is de DevSecOps-cultuur die ontstaat door het mengen van automatisering, open standaarden en zero trust er een waarbij beveiliging vanaf het begin is ingebakken in de levenscycli van applicaties en infrastructuur. Dit garandeert robuustheid van processen, applicaties en hun bijbehorende toeleveringsketens. Tegelijkertijd geeft het teams de flexibiliteit nog steeds innovatieve en betrouwbare applicaties en diensten te leveren.
Dit is een ingezonden bijdrage van Lucy Kerner, security global strategy and evangelism director Red Hat. Klik hier voor meer informatie over de oplossingen van het bedrijf.