De opkomst van DevOps past in het huidig tijdsbeeld. Alles moet snel, dynamisch en flexibel. De versnelling van het ontwikkelen en vermarkten van diensten, apps en processen heeft echter een keerzijde. In de wedloop de competitie voor te blijven, lijkt beveiliging van bedrijfsinformatie van ondergeschikt belang. Uit onderzoek blijkt dat DevOps-teams grotendeels alleen opereren, zonder samenspraak met security-teams. In het Advanced Threat Landscape 2018 rapport van CyberArk wordt duidelijk dat 75 procent van de organisaties geen security-strategie heeft om secrets, ofwel de gevoelige info in DevOps pipelines, te beschermen. Het zorgt voor significante risico’s.
Bij Uber waren de AWS toegangssleutels blijkbaar opgeslagen in een code, die bij een derde partij werd bewaard. Het bewijs dat een dergelijke ‘code repository’ niet de veiligste plek is voor inloggegevens. En dit is slechts een van de vele recente voorbeelden. DevOps versnellen weliswaar de ontwikkeling van services en processen, maar de kans is groot dat ze al doende de complexiteit van het netwerk vergroten. De teams zijn constant op zoek naar nieuwe manieren om de innovatie verder te versnellen en hun werk sneller te kunnen doen. Ideaal voor de business, maar tools downloaden om sommige (netwerk)wegen af te snijden kunnen ook tot meer complexiteit en gaten zorgen.
De vraag is: is het een lappendeken of een vooraf uitgedacht raamwerk? Elk element op zich heeft andere niveaus van beheer, beveiliging en toegangscontrole (en waarschijnlijk ook allerlei al dan niet bekende privileged accounts) en hackers azen op de gaten tussen die elementen.
Drie maatregelen voor DevOps en security
Hoe maak je DevOps veiliger? Hoe embed je security bedrijfsbreed in een organisatie ook als die met haast autonome teams werkt? Als eerste moeten DevOps teams en security teams dichter op elkaar zitten. Uit het onderzoek bleek dat bijna twee derde geen integratie of samenwerking kent. Er wordt wel over security nagedacht misschien, maar er is geen eenduidig beleid dat wordt gevolgd, er is geen consistentie. Security heeft strategie nodig.
Ten tweede moeten credentials en privileged accounts beter worden beheerd. Met zoveel complexiteit in een netwerk is het van belang dat accountgegevens en secrets veilig zijn en niet door het netwerk zweven. Op die manier wordt toegangsbeheer veel eenvoudiger.
Ten derde moet procesautomatie zoveel mogelijk worden ingezet, juist als deze processen onder invloed zijn van interne en externe elementen. Consistente processen die keer op keer zijn uit te voeren en rapportages over die processen eenvoudig zijn uit te draaien, zijn een cruciale bijdrage aan een sterk security-beleid. Elke nieuwe tool of applicatie valt dan in een gewaarborgd proces.
DevOps en security teams staan hier niet alleen voor. Alle relevante groepen in een bedrijf, van DevOps, security, algemene IT, maar ook bijvoorbeeld juridische en compliancy teams moeten samen aan een coherente security-strategie werken. Met verschillende prioriteiten is dat lastig. Maar het is nodig. Want voor je het weet is de drang naar innovatie ingehaald door een drang om een security-crisis te overleven.
Bart Bruijnestijn, CyberArk
