De ontwikkelingen op het vlak van app development gaan razendsnel. Waar enkele jaren geleden de nadruk nog sterk lag op het maken van uitgebreide, degelijke software suites met miljoenen regels aan code, ligt de focus vandaag de dag bij veel ontwikkelaars vooral op snelheid en vindingrijkheid. Zaken die de creativiteit beperken of de time-to-market van nieuwe apps beïnvloeden, worden vanzelfsprekend niet met gejuich ontvangen. Zo wordt het security aspect door veel ontwikkelaars gezien als ‘Mister No’, die de creatieve mogelijkheden binnen ontwikkelprojecten sterk inperkt.
De veiligheid van apps, evenals de bescherming van softwaregebruikers, wordt steeds belangrijker. Onder meer dankzij nieuwe wetgeving (zoals GDPR) is security veranderd van een ‘nice to have’ in een ‘must have’. Om silo’s te vermijden en ervoor te zorgen dat zowel creativiteit als security worden gewaarborgd, zullen teams binnen organisaties daarom meer programmatisch moeten gaan samenwerken. Dit vraagt om een doelgerichte aanpak en meer inzicht in de effecten van (voorheen losstaande) inspanningen.
In plaats van ‘Computer says No’, wordt security op deze manier ‘Mister Yes’. Dankzij security is een applicatie niet alleen mooi en functioneel, maar blijft het ook constant en veilig draaien.
Security delivery-mechanisme
Met programmatisch werken streef je naar optimale security: overal en op elk moment. Daarbij werken teams proactief in plaats van reactief en behoren klassieke security-projecten tot het verleden. Met DevOps werk je niet langer op projectbasis aan een app, maar continu met constant aanpassingen, updates en (bij)sturing. Net wat een optimale security vraagt.
Om deze manier van werken tot een succes te maken, zullen organisaties eerst een stap terug moeten zetten. Reculer pour mieux sauter zoals dat zo mooi in het Frans wordt gezegd. Bedrijven zullen het DevOps-team eerst een blauwdruk moeten laten definiëren van het ‘standaard netwerk’. Deze template definieert aan welke voorwaarden data flows te allen tijde moeten voldoen, omvat de commando’s die mogen worden uitgevoerd (inclusief de correcte syntax daarvan) én rapporteert de status van de gehele omgeving. Op basis van die voorwaarden worden het verkeer van en naar de app vervolgens constant gecontroleerd op compliance. Zwakke punten blijven zo nooit onopgemerkt.
Dankzij zo’n template weet een organisatie precies wat er door welke software aangestuurd wordt en kan overal de nodige beveiliging geplaatst worden. Door de doelstellingen zoals reactiesnelheid, uptime en de compliance-status constant te monitoren, verminderen business security-risico’s aanzienlijk.
DevOps blueprint als leidraad
Een template waarin alle modules zijn vastgelegd biedt houvast en voorkomt discussie. De DevOps-blauwdruk is dan ook bedoeld om telkens in de beginfase van ontwikkeling- en verbeteringscycli te komen tot een projectplan dat implementeerbaar en werkbaar is voor de gehele organisatie. De blauwdruk is een gezamenlijke inspanning van de business owner en key stakeholders van verschillende afdelingen. De template legt verbeterpunten bloot en biedt tevens een procesarchitectuur en een actieplan om die verbeteringen doorlopend te realiseren.
Communicatie als best practice
We zijn gewend dat we met al onze it gerelateerde vragen en problemen kunnen aankloppen bij de it-afdeling. Maar wat doen organisaties als het over security issues gaat? Een DevOps-aanpak vraagt om betrokkenheid en input van alle bedrijfsdivisies, dus ook van bijvoorbeeld marketing, hr en finance. Van netwerkbeheerders, admins en developers tot bedrijfsanalisten: ze zijn allemaal onderdeel van hetzelfde (DevOps-)team. Samen hebben zij één gemeenschappelijk, overkoepelend doel: het doorlopende project, waar security een integraal onderdeel van is, laten slagen.
Om silo’s te vermijden en succesvol samen te werken, zijn communicatie en wederzijds begrip tussen afdelingen cruciaal. Definieer samen de compliance baseline en breng ook samen de verbeterpunten in kaart. Het is daarbij vaak nodig om de ‘oude wereld’, waarin gewerkt werd volgens klassieke security-methodieken, te verbinden met de ‘nieuwe wereld’. Zo ontstaat er een werkomgeving waarin iedereen optimaal en veilig kan werken en, in het bijzonder, ontwikkelaars hun apps snel en veilig kunnen uitrollen.
Peter Sandkuijl, hoofd security solutions, engineering, bij Check Point EMEA
