Varför DevSecOps behövs

Vad är DevOps och varför har det varit ett så hett ämne under de senaste åren? Den här artikeln kommer inledningsvis fokusera på bakgrunden om vad DevOps är, identifiera tillkortakommanden i den nuvarande DevOps-metodiken och hur DevSecOps passar in i bilden.

Bakgrund om DevOps
DevOps kombinerar människor, processer och automatisering för att leverera ett kontinuerligt värde till organisationen. Själva definitionen av DevOps är att utvecklingsteam (Dev) och driftteam (Ops) samarbetar nära, som integrerade team för att uppnå bästa möjliga resultat. Man slår alltså samman dessa avdelningar för att de ska arbeta tillsammans, mot gemensamma mål.

Kontinuerlig integration och distribution (CI/CD) av färdig kod kräver en annan organisation och kultur än tidigare. DevOps förenar kultur, arbetsmetoder och verktyg i syfte att skapa de bästa förutsättningarna för framgång.

Enligt en undersökning av GitLab släpper 82% av utvecklare kod snabbare än tidigare tack vare DevOps. Av dem är det 70% som provisionerar och hanterar sin egen infrastruktur. Denna statistik bekräftar de framsteg som DevOps har medfört för att lösa komplexiteten i utvecklingslivscykeln.

Definition av DevSecOps
DevSecOps är en kombination av DevOps och IT-säkerhet. DevSecOps är nästa steg i en förflyttning mot en bättre säkerhetskultur. Behovet av DevSecOps härrör från upplevda brister i säkerhet i DevOps-implementeringen.

DevSecOps-praxis bygger säkerhet i hela utvecklingscykeln, några viktiga områden är:

  • Planering
  • Byggnad
  • Testning
  • Distribuering
  • Drift

I praktiken bör DevSecOps-rollen vara involverad från designstart och i alla steg till applikationen tas i drift. Genom att implementera säkerhet i livscykeln och göra säkerhetsrapporter tillgängliga direkt för utvecklarna, möjliggör det att man åtgärdar problem både snabbare och tidigare, samt att man förskjuter säkerhetsansvaret till utvecklingsteamen istället för en traditionell hantering av säkerhet i silos.

I en idealvärld bör DevOps och DevSecOps vara densamma, säkerhet ska integreras i varje steg. DevSecOps belyser verksamhetens behov av att stärka och skydda företagets rykte. Genom att ta på sig ägarskap för att leda säkerheten inom Ops team, bör DevSecOps-teamet bidra med att dela säkerhetskunskap så att DevSecOps och DevOps arbetar mot samma mål.

Säkerhetsutmaningar som DevSecOps adresserar – hur skiljer de sig från gårdagens utmaningar?
I en era där fler och fler organisationer etablerar och använder sig av molnteknik har säkerhet blivit en av de högsta prioriteringarna för många på grund av en ökande hotbild samt juridiskt ansvar mot interna och externa användare. Att hålla sig uppdaterad om nya hot och sårbarheter, samt att leva upp till lagar och förordningar kan emellertid bli tidskrävande och kostsamt. Enligt en kartläggning från Gartner 2019 skulle de totala, globala IT-säkerhetsutgifterna överstiga 124 miljarder dollar under året. [ref]

Organisationer har nu börjat använda DevSecOps för att ha en mer omfattande och proaktiv strategi. Men vad uppnår DevSecOps-filosofin jämfört med en traditionell säkerhetsstrategi?

De gamla arbetssätten för säkerhetsteam behöver anpassas till en snabbt föränderlig miljö som gör traditionella säkerhetsförfaranden otillräckliga. I en värld av kortare och snabbare mjukvarulivscykler och mindre isolerade ekosystem baserade på microservices så blir traditionella säkerhetsförfaranden obsoleta.

DevSecOps introducerar alltså idén att tänka på säkerhet redan från början. Ett exempel är att använda säkerhets-plugins i utvecklingsprocessen som IDE (Integrated Development Environment). Med denna enkla förändring kan utvecklare redan börja fånga sårbarheter i koden innan de ens tagit in den i sitt repository. Med ett äldre tillvägagångssätt skulle dessa sårbarheter inte ha fångats upp förrän i ett senare skede i livscykeln, eller ännu värre när de redan har gjort skada.

Med DevSecOps blir utvecklingslivscykler inte längre beroende av att ett team samarbetar för att åtgärda sårbarheter, eller att stora team måste gå igenom nyutvecklad kod för sårbarheter. Dessa gamla säkerhetsprocesser tenderar att skapa långa ledtider och kräver mer personal för att matcha den utvecklingshastighet som DevOps-strategin ger.

DevOps-metoden är att automatisera uppgifter där det är möjligt, detsamma gäller för DevSecOps. När DevSecOps har implementerats korrekt kan utvecklare fånga och åtgärda sårbarheter innan de släpps. När organisationer växer förblir automatiseringen densamma, vilket betyder att inga extra personalkostnader krävs för att skala säkerhetstjänster och man får heller inga ytterligare ledtider i utvecklingslivscykeln.

Utmaningar med att etablera DevSecOps
Alla arbetssätt har sina utmaningar, följaktligen är det viktigt att fokusera på rätt saker redan från början. Kultur och beteende är nyckelfaktorer som organisationer måste ta itu med när man implementerar DevSecOps. Eftersom DevSecOps fördelar säkerhetsansvaret på flera team är det viktigt att se till att alla förstår varför säkerhet är så viktig och varför man måste tänka på det i varje steg på vägen.

Ett sätt att underhålla medvetenheten är att hålla relevant säkerhetsutbildning varje år. Ett exempel på detta skulle vara att simulera attacker, för att alla intressenter ska förstå vikten av det.

Varför är det så viktigt för människorna att förstå säkerhet om verktygen gör det mesta av arbetet?
Alla säkerhetssårbarheter är viktiga, men då de kommer i många olika former så kan det bli överväldigande. Riktlinjer för vilka typer av sårbarheter och konsekvenser av dessa som är prioriterade, bör definieras så att organisationen vet hur den ska prioritera sitt arbete.

En annan utmaning som organisationer ofta möter är att hitta rätt verktyg och tjänster för att stödja utvecklingsgrupperna på rätt sätt. Tekniska plattformar skiljer sig mellan organisationer, därför är det en utmaning att hitta rätt kompetensuppsättning för att förstå vilken tjänst som behövs för varje specifik plattform. När rätt tjänster har hittats är det viktigt att implementera, konfigurera och integrera dessa tjänster för att passa den egna plattformen.

Hur passar ELITS in här och hur kan vi hjälpa er organisation?
ELITS har ett brett utbud av kompetenta konsulter och tjänster för den här typen av implementeringar och migrationer. Med vår kunskap och långa erfarenhet samt partnerskap med Trend Micro så kan du tryggt vända dig till oss med dina förfrågningar.

Nyfiken och vill veta mer?

Kontakta oss och få svar från någon av våra experter. Vänligen lämna dina uppgifter, så återkommer vi till dig snarast möjligt.

Kontakta oss idag!