Voor een echt efficiënte DevOps-workflow moeten ontwikkelingsaanpak en IT-beveiliging worden samengebracht. De transformatie van DevOps naar DevSecOps en daarmee naadloze applicatiebeveiliging kan worden ondersteund door verschillende diensten en tools, zoals het Prisma cloudplatform van Palo Alto Networks.
Tijd is geld: steeds meer bedrijven maken gebruik van DevOps-modellen om de levering van applicaties flexibeler, efficiënter en sneller te maken. Het geheel wordt uitgevoerd door de gegevenssilo’s af te breken en de communicatie in de betrokken teams te verbeteren. Positieve resultaten zijn meestal snellere releases, producten van hogere kwaliteit en grotere klanttevredenheid. Bedrijven verwaarlozen echter vaak het veiligheidsaspect bij de implementatie van DevOps.
Shift Left
In essentie is DevSecOps een samenwerkingsmodel tussen de teams voor ontwikkeling (Dev), IT-beveiliging (Sec) en IT-operaties (Ops) – gedurende het gehele ontwikkelingsproces, van integratie en testen tot implementatie en implementatie. Als een DevOps-aanpak DevSecOps wil worden, moet beveiliging zo vroeg mogelijk in de ontwikkeling worden ingevoerd met behulp van tools en automatisering als onderdeel van de bestaande of nieuw op te zetten toeleveringsketen. Dit wordt vaak de shift-linkse aanpak genoemd. Het beschrijft de verschuiving van verschillende veiligheidsmaatregelen naar links, d.w.z. naar eerdere stappen in de softwarelevenscyclus. “Om precies te zijn, op een zo vroeg mogelijk tijdstip, in plaats van de noodzakelijke controles van veiligheidsaspecten uit te voeren aan het eind van de levenscyclus en als een soort release blocker, zoals in veel traditionele implementaties. Dit vereist een nauwe integratie van softwareontwikkeling en IT-beveiliging en de teams die daarbij betrokken zijn. Zowel op procesniveau als in de gebruikte tools,” legt Martin Zeitler, Director of Systems Engineering bij beveiligingsexpert Palo Alto Networks, uit.
Implementatie van DevSecOps
In een vroeg stadium van de levenscyclus van een stuk software moeten naast de functionaliteit ook aspecten van IT-beveiliging worden getest. Dit omvat reeds de selectie van softwarecomponenten, zoals het basisimage en de vertrouwde inhoud, alsmede de selectie en configuratie van de gebruikte infrastructuur en het platform. Dit is waar Continuous Integration (CI) en Continuous Delivery of Continuous Deployment (CD) om de hoek komen kijken.
CI/CD staat voor de verzameling technieken en hulpmiddelen om de ontwikkeling en oplevering van software te verbeteren door benaderingen te bieden voor continue automatisering en monitoring gedurende de gehele levenscyclus van software. Men spreekt van een CI/CD-pijplijn wanneer de stappen in de softwarelevering op geautomatiseerde wijze op elkaar voortbouwen als een op zichzelf staand feedbackproces. “Zo kan worden voorkomen dat toepassingen die niet aan de bijbehorende gedefinieerde minimumeisen en beleidsregels voldoen, helemaal niet worden opgeslagen of in ieder geval niet verder kunnen worden gebruikt”, aldus Zeitler. De gebruikte componenten, bijvoorbeeld container-images, serverloze applicaties of applicatiespecificaties, worden dus niet alleen gecontroleerd op bekende beveiligingslekken, maar ook op configuratiefouten en overtredingen van compliance-regels. Hier kunnen verschillende methoden voor beleidshandhaving worden gebruikt.
De juiste tool
Palo Alto biedt zijn cloud-native beveiligingsplatform Prisma Cloud aan, zodat de betrokken teams in de verschillende fasen rekening kunnen houden met alle beveiligingsrelevante aspecten. Daar kunnen de ontwikkelingsprocessen worden gecontroleerd op kwetsbaarheden en naleving van het beleid voor verschillende platforms, cloudinfrastructuren en soorten toepassingen. Om alle fasen van het proces te beschermen, zelfs in complexe multi-cloud infrastructuren en hybride omgevingen, is er de Palo Alto Prisma Cloud Compute Edition. Dit omvat ook functies voor een effectieve DevSecOps-aanpak: Kwetsbaarheidsbeoordeling, compliance, CI/CD-integratie, Runtime Behaviour Monitoring, cloud-native firewalls en toegangscontroles.