Continuous delivery, wie wil dat nu niet? Er is alleen één kleine ‘maar’: de security. Want bij veel organisaties zijn de securityprocessen niet zo dynamisch ingeregeld als continuous delivery vereist. In de bancaire sector wordt bijvoorbeeld doorgaans maar eens in de paar weken geaudit. De oplossing? Canary releasing gecombineerd met realtime protection-technologie.
We hebben allemaal het Equifax-debacle nog vers in het geheugen. De bug was al geruime tijd bekend, maar doordat het kredietbedrijf de software niet tijdig had geüpdatet, kon er in de tussentijd een hoop schade worden aangericht. Niet alleen de cio en securitymanager hebben hun ontslag moeten indienen, maar ook de ceo. Zeker wanneer je met persoonsgegevens te maken hebt, is elk risico er één te veel. Regelgeving zoals de GDPR en Meldplicht Datalekken (MD) is nodig, maar het legt wel extra druk op de organisatie en het belemmert snelle lancering van producten. Je moet als organisatie nu binnen 72 uur na een datalek daarover rapporteren en aangeven wat je eraan hebt gedaan om het te verhelpen. De boete die het College bescherming persoonsgegevens bij overtreding van de Meldplicht Datalekken kan opleggen, is 810.000 euro of 10 procent van de omzet van een onderneming.
Downscalen
Jonge bedrijven met weinig legacy kunnen beter op dergelijke regelgeving anticiperen. Zij zijn vaak beter in staat dagelijks nieuwe releases uit te brengen, die goed te beveiligen en eventuele bugs tijdig te herstellen. Maar hoe doe je dat als gevestigde organisatie? Hoe zorg je voor inzicht in de beveiliging van je applicaties als je tegelijkertijd developers niet in de weg wilt zitten? Laten we het omkeren: wat houdt organisaties tegen om continu nieuwe releases in productie te brengen? Dat zijn doorgaans de impact – het zijn immers omvangrijke en complexe exercities – en de genoemde vertraging vanuit security. Het antwoord is dus gelegen in het downscalen van de omvang. Als het minder pijn doet, wordt de drempel immers kleiner.
Met Canary-releases wordt het uitbrengen van dagelijkse releases behapbaar. Bijvoorbeeld door te beginnen met het live zetten van een nieuwe versie voor 5 procent van de gebruikers, voor eigen personeel of bètatesters als initiële testgroep van een nieuwe update. Door het langzaam breder uit te rollen, behoud je grip en verklein je de impact van eventuele bugs.
Realtime protecting
Dan de security. Daar biedt realtime protecting-technologie soelaas. Hiermee wordt de applicatie van binnenuit gemonitord. Deze monitor houdt bij wie welke data en pagina’s opvraagt en slaat deze op in een auditlog. Belangrijk voor de GDPR en MD op het moment dat moet worden vastgesteld wat de omvang van een datalek is. Ook waakt het voor kwetsbaarheden in de applicatie, die kunnen leiden tot een datalek. Tegenwoordig is hiermee al binnen 50 milliseconden een hacker op te sporen en te blokkeren. Tegelijkertijd kunnen niet-kwaadwillende bezoekers gewoon gebruik blijven maken van de laatste versie van de onlineomgeving.
Continuous delivery nooit af
Een dergelijke methode vereist wel een andere aanpak én een mentaliteitsverandering. Want de business moet hiervoor met development, operations en security samenwerken. En je moet leren de juiste vragen te stellen. Verzamel je de juiste realtime data om te kunnen bepalen of een nieuwe versie qua business-sla’s succesvol is, en tegelijkertijd voor hackers niet succesvol is? En wat zijn de corrigerende acties die je realtime moet uitvoeren indien een nieuwe versie niet meer voldoet aan de vereisten? Zet dus businessdoelstellingen en metrics centraal. En bedenk je dat het nooit klaar is. Continuous delivery is net als een gekocht huis: het is nooit af.
Organisaties als Booking.com, de BBC en Bol.com zijn met deze methodes al goed op weg. Met het succesvol toepassen van bovengenoemde DevSecOps-methodieken kan tot tweehonderd keer sneller gereleased worden en hebben deze organisaties dus dito zoveel tijd extra om nieuwe ideeën te proberen en te verbeteren. Zodra een organisatie in jouw sector deze methode toepast, kun je dus niet anders dan het zelf ook toepassen. Dit alles gaat over wat Amazon-ceo Jeff Bezos de Day 1-mentaliteit noemt. Bedrijven met deze start-upmentaliteit doen er alles aan om zo snel mogelijk (datagedreven) beslissingen te maken, focussen op resultaten in plaats van het proces en hebben voor alles altijd de klant en daaruit voortvloeiend business-values op het vizier. Behoor jij ook tot het type organisatie dat werkelijk alles doet om de klantbeleving beter te maken, snel beslissingen neemt en verandering omarmt? Als we de afgelopen maanden iets hebben geleerd, is het wel dat security niet iets is wat je eens in de paar weken moet doen, maar wat een continu, doorlopend proces moet zijn.
Infosecurity.nl en Data & Cloud Expo
Olaf Molenveld en Ruben van Vreeland spreken op 1 november 2017 om 14.00 uur tijdens de beurscombinatie Infosecurity.nl en Data & Cloud Expo in Jaarbeurs Utrecht over continuous delivery en security. Molenveld is ceo en co-founder van Magnetic.io dat de software Vamp ontwikkelt. Vamp is een open-source e-commerceplatform dat organisaties helpt om continu onlineservices en software door te ontwikkelen. Van Vreeland is ceo van Bitsensor, beveiligingssoftware waarmee organisaties in slechts 50 milliseconden een cyberaanval kunnen detecteren. Vamp en Bitsensor maken samen realtime DevSecOps mogelijk. Gratis tickets voor Infosecurity.nl en Data & Cloud Expo zijn hier verkrijgbaar.