DevSecOps

Der er i dag et stigende behov for at sikkerheden er i fokus når der bygges IT-løsninger- specielt i public cloud. En IT-løsning er kun så god, som den er sikker. En af metoderne at sikre sig på, er at inkludere produktsikkerheden i den normale DevOps cyklus.

I DevSecOps er sikkerhed derfor en integreret del, hvor udviklings-, drifts- og sikkerhedsteams arbejder kontinuerligt sammen om at sikre, at applikationen leveres sikkert i alle faser. Hovedformålet med DevSecOps er at dække hullerne mellem udvikling, drift & sikkerheds-teams og sikre en pålidelig og gennemtestet version af produktet. Således at sikkerhed bliver tænkt ind fra starten og ikke ender som en nedprioriteret opgave eller teknisk gæld.

Hvorfor har vi brug for DevSecOps?

Udviklingen 'the DevOpsWay' hvor applikationer hurtigt skyder frem, gør den høje konkurrence i markedet at det er essentielt at komme først med de nyeste services og udvikling. På den måde skaber hensynet til hastighed, skala og funktionalitet ofte en svaghed omkring robust sikkerhed og compliance. Af denne grund blev DevSecOps introduceret i softwareudviklingens livscyklus for at samle udvikling, drift og sikkerhed i en fælles enhed.

En af årsagerne til at DevSecOps begrebet blev opfundet er, at hackere altid kigger efter de nemmeste måder at implementere malware på. Forestil dig, at de er i stand til at indsætte malware i en applikation under selve byggeprocessen, og at denne malware ikke blev opdaget, før applikationen var blevet distribueret til tusindvis af kunder. Skaderne på både kundesystemet, servicen, løsningen og ikke mindst virksomhedens omdømme ville være enorm, især i en verden, hvor dårlige nyheder kan gå viralt på få sekunder.

At bringe sikkerhed frem i processen som et ligestillet ansvar med udvikling og drift bør være et must for enhver organisation, der er involveret i applikationsudvikling og distribution. Når I erstatter DevOps med DevSecOps, har alle udviklere og netværksadministratorer automatisk fokus på sikkerhed, som del af processen udover deres udvikling og implementering af applikationer. Med et testdrevet udviklingsmiljø på plads samt automatiseret test og kontinuerlig integration, som en del af arbejdsgangen, kan organisationer arbejde mere problemfrit og hurtigt mod et fælles mål om øget kodekvalitet samt forbedret sikkerhed og compliance.

Her er nogle af de få ’best practises’ der vil hjælpe DevSecOps-processen med at køre problemfrit:

Automatisering er alpha og omega!

DevOps handler om leveringshastighed, og dette behøver ikke at blive kompromitteret, bare fordi du tilføjer sikkerhed til blandingen. Ved at integrere automatiserede sikkerhedskontroller og teste tidligt i udviklingscyklussen kan du stadig sikre hurtig levering af dine applikationer- dog bare leveret top-sikre! Det ligger i kernen af DevOps at man flytter fokus på Operations fra udgivelsen af software til at indtænke det i konceptudviklingen. DevSecOps sætter eksplicit fokus på sikkerhed, som nu også skal rykkes tidligere i udviklingsprocessen.

Brug DevSecOps til at øge effektiviteten

Du tilføjer sikkerhed til dine arbejdsgange. Dels ved at bruge værktøjer, der kan scanne jeres kode løbende og dels ved at bruge sikker rammearkitektur med udgangspunkt i reference-implementeringer!

Udfør trusselsmodellering

Trusselsmodelleringsøvelser kan hjælpe dig med at opdage sårbarhederne i dine aktiver og lukke eventuelle huller i sikkerhedskontrollen. Der findes mange brugbare værktøjer fx Microsoft Defender for Cloud, der kan hjælpe dig med at identificere de mest risikable hændelser, der opstår på tværs af din infrastruktur, og med at indbygge den nødvendige beskyttelse i dine DevSecOps-arbejdsgange.

Altid på forkant

Hold øje med sikkerhedsniveauet løbende for dine cloud-ressourcer på tværs af servere, containers, databaser og datalagre i Azure-, AWS- og Google Cloud-miljøer. Overvåg arbejdsmængder på servere i lokale datacentre, og få hurtig indsigt med visualisering af hele sikkerhedsniveauet.

Udfordringer og forhindringer

De mest typiske grunde til hvorfor udrulning af DevSecOps kan være op ad bakke i jeres organisation, er silotænkning og manglende forandringsvillighed i jeres teams. Hvis ingen føler sig ansvarlig for sikkerheden og hvis udviklere og operatører mangler viden om sikkerhedsforanstaltninger og egnede værktøjer, hvem skal så tage ansvaret for at ændre jeres nuværende arbejdsmetoder og få sikkerheden implementeret hele vejen igennem jeres DevOps cyklus?

"DevSecOps" tilbyder dog med sin bedste praksis-tilgang hjælp til at finde jeres udfordringer, som en del af selve konceptet. Groft opdelt er I nødt til at stille skarpt på de følgende tre søjler, for at finde ud af hvor I skal justere for at få implementeret SEC i jeres DevOps cyklus.

De tre søjler:

Mennesker: I bør systematisere samarbejdet mellem afdelingerne og teams samt etablere en struktureret udveksling af viden, der giver transparens.

Proces: Introduktion af agile processer, der øger hastigheden og dermed frigør tid til forkus på at sikre applikationerne.

Automatisering: Etablering af en automatiseret værktøjskæde til at dække alle nødvendige sikkerhedsmetoder. Implementeringen kan enten ske for alle tre søjler eller fokuseret på enkelte områder. Hvis I har svært ved at finde ud af hvor I skal starte og slutte på trods af de tre søjler, så kan I herunder finde nogle af de spørgsmål, som I kan bruge til at få afklaring på hvor lige præcis jeres udfordringer ligger:

• Hvordan arbejder de enkelte afdelinger sammen i dag?

• Hvilke foranstaltninger skal der træffes for at forbedre samarbejdet og gennemføre det systematisk?

• Hvordan fungerer de nuværende processer for udvikling, drift og sikkerhed?

• Hvilke processer skal tilpasses til automatisering?

• Hvordan kan disse processer justeres?

• Hvilke automatiseringsværktøjer bruges allerede i organisationen?

• Hvilke tiltag skal implementeres for at sikre sikkerheden?

• Hvilke værktøjer skal bruges til at implementere sikkerhedsforanstaltningerne?

• Hvordan implementerer man værktøjerne?

Med svar på nogle af ovenstående spørgsmål kan man afdække de behov virksomheden har og på den måde klarlægge hvilke tools, der hurtigt kan introduceres for at lave en baseline. Hvis dette gøres i organisationens Cloud Center of Excellence (CCoE), så vil man have hjulpet alle andre teams og organisationen ved at introducere og implementere en baseline hvoraf sikkerheden løbende kan forbedres og det er let komme i gang med at accelerere DevSecOps.

Hvilke handlinger bør træffes, når svarene er på plads?

Den individuelle implementering af "DevSecOps"-konceptet eller enkelte dele af metoden afhænger af jeres organisations størrelse, fremdrift og sammensætning af roller og kompetencer. Men et er sikkert- I kan fremme både hurtigere udvikling, styrke det kollegiale samarbejde på tværs af teams samt etablere sikkerhed, som en konkurrencefordel, hvis I går fra DevOps til DevSecOps.

Hvem vil ikke gerne undgår at usikre applikationer bliver publiceret på grund af uvidenhed og mangel på tid, i en verden i hastig forandring?

Fordelene er så mange, så det vist bare handler om at komme i gang...