'Security-strategieën rond DevOps staan nog in de kinderschoenen'

27-01-2019 | door: Wouter Hoeffnagel

'Security-strategieën rond DevOps staan nog in de kinderschoenen'

Security-strategieën moeten gericht zijn op privileged access, ofwel controle op het gebruik van gebruikersaccounts met extra rechten, en het afschermen van deze accounts, secrets en andere gevoelige informatie. Daarbij is het van belang dat de strategie wel aansluiting vindt bij de DevOps-cultuur en bijbehorende methodes om te voorkomen dat ze de snelheid en wendbaarheid van productontwikkeling in de weg staat. Dit staat echter nog in de kinderschoenen; zo'n 73% van de organisaties heeft nog geen strategie ontwikkeld om accounts met extra toegangrechten tot DevOps te beschermen.

Dit blijkt uit het Threat Landscape Report 2018 van CyberArk, waarvoor 1.000 Chief Information Security Officers (CISO's) wereldwijd zin ondervraagd. Het onderzoek is een initiatief van CyberArk en wordt uitgevoerd door onderzoeksbureau Robinsons Insight onder CISO’s van onder andere American Express Company, Carlson Wagonlit Travel, ING Bank, Lockheed Martin, NTT Communications, Pearson, Rockwell Automation en Starbucks. In deze editie is met name gekeken naar de beveiliging van DevOps-processen. Het rapport wordt samengevat in vijf aanbevelingen, gebaseerd op de praktijkervaringen van de deelnemende CISO’s.

1. Maak het security-team een DevOps-partner

Zorg ervoor dat security-specialisten en ontwikkelaars over de juiste kennis en kunde beschikken. Hierdoor is het voor ontwikkelaars makkelijker om rekening te houden met beveiligingsprincipes, wordt samenwerking gestimuleerd en kunnen agile DevOps-methodes ook binnen security worden toegepast.

2. Focus op het beveiligen van DevOps tools en infrastructuur

Stel beleidsregels op (en zorg dat ze nageleefd worden) ten aanzien van de te gebruiken tools en hun configuratie, voer toegangscontrole bij DevOps tools in, gebruik het ‘least privilege’ principe en bescherm en monitor de infrastructuur.

3. Stel bedrijfsbreed eisen op voor de bescherming van login-gegevens en secrets

Maak het centraal beheer van secrets verplicht, breid de auditing en monitoring mogelijkheden uit, verwijder credentials in tools en applicaties en ontwikkel herbruikbare code-modules.

4. Verander processen om applicaties te testen

Het automatische testen van code moet geïntegreerd worden, ontwikkelaars moeten via een ‘break the build’ methode verplicht worden security-issues te repareren, en overweeg een bug bounty programma, waarin ontdekkers van kwetsbaarheden worden beloond.

5. Evalueer de resultaten van DevOps security

Test de invoer van tools voor secrets management, meet resultaten, stimuleer verbeteringen en train auditors.

“Het CISO View rapport geeft concrete ervaringen weer van directeuren en topmanagers die DevOps omarmen, zonder security uit het oog te verliezen”, aldus Renske Galema, regional director van CyberArk. “Voor organisaties die midden in digitale verandertrajecten zitten, is het van belang security en risico’s altijd langs nieuwe tools en technologie te leggen. Door de organisatie- en operationele uitdagingen te begrijpen, kunnen security-teams effectiever meepraten op het niveau van zowel topmanagement, security als ontwikkelaars.”

Het CISO View rapport ‘Protecting Privileged Access in DevOps and Cloud Environments’, en de eerdere edities zijn hier te downloaden.

Terug naar nieuws overzicht
Security