De politieke en economische ontwikkelingen hebben wereldwijd voor de nodige dynamiek én onrust gezorgd. Door technologie ontstaan voor bedrijven vaak mogelijkheden om meer zicht te krijgen op de situatie op de markt en hoe daar op in te spelen. Het stelt ze in staat sneller en beter om te gaan met een veranderend speelveld. Maar het komt met een prijskaartje.
De opkomst van DevOps past precies in dit plaatje. Bedrijven wereldwijd hebben de methodiek al omarmd de afgelopen twee jaar. De versnelling van het ontwikkelen en vermarkten van diensten, apps en processen levert echter ook de nodige uitdagingen op. In de ratrace de competitie voor te blijven, lijkt de beveiliging van het bedrijf van de prioriteitenlijst te duikelen. Uit onderzoek blijkt dat DevOps-teams grotendeels alleen opereren. In het rapport ‘Advanced Threat Landscape 2018’ wordt duidelijk dat 75 procent van de organisaties geen security-strategie heeft om secrets, ofwel de gevoelige info in DevOps pipelines, te beschermen. Het zorgt voor significante risico’s.
Dit bleek recent weer bij het lek bij Uber. Nog niet alle details zijn bekend, maar blijkbaar waren de AWS-toegangssleutels opgeslagen in een code, die bij een derde partij werd bewaard. Het bewijs dat een dergelijke ‘code repository’ niet de veiligste plek is voor inloggegevens.
Dat netwerken complex zijn, nemen we haast als vanzelfsprekend aan, maar als we echt ernaar gaan kijken, is het angstaanjagend ingewikkeld. Er komen zoveel elementen samen. De vraag is: is het een lappendeken of een vooraf uitgedacht raamwerk? Elk element op zich heeft andere niveaus van beheer, beveiliging en toegangscontrole (en waarschijnlijk ook allerlei al dan niet bekende privileged accounts) en hackers azen op de gaten tussen die elementen.
DevOps versnellen weliswaar de ontwikkeling van services en processen, maar de kans is groot dat ze al doende de complexiteit van het netwerk vergroten. De teams zijn constant op zoek naar nieuwe manieren om de innovatie verder te versnellen en hun werk sneller te doen. Ideaal voor de business, maar tools downloaden om sommige (netwerk)wegen af te snijden, kunnen ook tot meer complexiteit en gaten zorgen. De hoeveelheid veranderingen in deze omgevingen maken grip erop lastig, en als ze eenmaal bedrijfsbreed gebruikt worden, is het lastig die processen en tools terug te draaien.
Drie maatregelen voor DevOps en security
Hoe dan wel? Als eerste moeten DevOps-teams en securityteams nauwer samenwerken. Uit het onderzoek bleek dat bijna twee derde geen integratie kent, met als gevolg dat iedereen het heft in eigen hand neemt. Het zorgt weliswaar voor initiatief bij de DevOps-teams om zelf security-maatregelen te treffen maar de consistentie door het bedrijf heen is ver te zoeken. En een beveiligingsstrategie die op verschillende plekken niet op één lijn zit, is geen beveiligingsstrategie.
Ten tweede moeten accountgegevens, of credentials, beter worden beheerd. Met verschillende tools door de organisatie heen is het van belang dat accountgegevens en secrets gecentraliseerd zijn en niet door het netwerk zweven. Op die manier wordt het eenvoudiger om toegang tot de secrets te beheren.
Ten slotte moeten organisaties kijken hoe processen zijn te automatiseren, juist als ze onderhevig zijn aan interne en externe veranderingen. Consistente processen die keer op keer zijn uit te voeren en rapportages over die processen eenvoudig zijn uit te draaien, zijn een cruciale bijdrage aan een sterke beveiligingsstandaard. Elke keer als er een nieuwe tool, applicatie of proces wordt geïntroduceerd, weet je dan dat de achterliggende processen zijn geborgd.
Steentje
Maar het is niet alleen aan de DevOps- en security-teams. Iedereen moet hier zijn steentje aan bijdragen. Bedrijfsleiders moeten duidelijke richtlijnen opstellen over iedereen die middels zijn werk in staat is een deur voor hackers open te zetten. Alle relevante groepen in een bedrijf, van DevOps, security, algemene it, maar ook bijvoorbeeld juridische en compliancy-teams moeten samen aan een coherente security-strategie werken. Met verschillende prioriteiten is dat lastig, maar het is nodig, want voor je het weet is de drang naar innovatie ingehaald door een drang om een security-crisis te overleven.
DevOps, wat mij betreft, net als scrum, agile, panorama, nieuwe revue en de Bunte Illustrierte, niets meer of minder dan heel veel betalen voor iets wat al lang bestaat, klaarblijkelijk nooit echt goed is uitgenut, waardoor commercie denkt, kom, we bedenken weer eens wat. En weer maakt men zelfs illustratief dezelfde fout. Digitaal automatiseren is niet rond, digitaal automatiseren is lineair, schaalbaar. elke stap in en met digitaal automatiseren, volgens exact dezelfde routines als…. laten we eens iets bedenken, okay, de ontwikkeling van Jacques Jaquard met zijn geautomatiseerde weefmachine, exact dezelfde als waar Henry ford achter kwam en precies hetzelfde waar Ishida Toyoda volgens werkte en produceerde.
Uiteraard gaan we nu professionals naar school sturen, laten ze pakweg een dikke € 1600,00 betalen en zeggen dan…. zie je wel… het gaat stukken beter? Gaat een programmeur hier nu beter van programmeren? Gaat een projetlead of manager daar nu ineens beter van presteren? Zijn er andere posities in de betreffende IT ketens nu ineens overbodig geworden?
Zolang men in dergelijke ‘nieuwe realiteiten’ geen rekening houd met de wijze waarop digitaal automatiseren en IT zich beweegt, is er volgens mij eerder iets anders een prio.