Scroll Top
Et forslag til arbeidsflyt for sikkerhet

[vc_row type=»vc_default»][vc_column][dt_fancy_title title=»DevSecOps» title_align=»left» title_size=»h2″ title_color=»custom» custom_title_color=»#0c0c0c»][ultimate_heading main_heading=»Hva er det?» alignment=»left»][/ultimate_heading][vc_column_text]

DevSecOps er en fundamental endring i hvordan organisasjoner implementerer sikkerhet. I stedet for å «bolte på» sikkerhet i enden av applikasjonens leveranselinje, skal sikkerhet implementeres i produktets DNA. Fra start av design, til etter leveranse.

[/vc_column_text][ultimate_heading main_heading=»Hvorfor skal vi gjøre dette?» heading_tag=»h3″ alignment=»left»][/ultimate_heading][vc_column_text]

Ifølge Ian Sommerville i sin bok Software Engineering 10th ed, og Harris/Maymi i CISSP 8th ed vil man antageligvis aldri oppleve at et produkt er 100% sikkert. Derfor vil det alltid være en avveining mellom hva det koster å implementere sikkerhetstiltak, og hva et eventuelt brudd vil koste leverandør, og ikke minst brukeren av det nevnte produktet.

Ved å implementere sikkerhet så tidlig som mulig vil man unngå en del av kostnadene og øke sikkerheten, fordi det er billigere og enklere å lage et sterkt og sikkert fundament, enn å legge til sikkerhet etterpå.

Dette prinsippet kalles «Shift Left», og illustreres på følgende måte: 

[/vc_column_text][dt_fancy_image image_id=»3102″ width=»600″ caption=»on» image_decoration=»shadow» shadow_color=»rgba(0,0,0,0.6)» image_scale_animation_on_hover=»quick_scale»][/vc_column][/vc_row][vc_row][vc_column][ultimate_heading main_heading=»Hvordan?» alignment=»left»]CI/CD[/ultimate_heading][vc_column_text]

Det absolutt beste å implementere sikkerheten i starten av CI/CD linja. I dagens landskap, med infrastruktur som kode, kan man ha skanninger av infrastruktur før den legges ut, og dermed være sikker på at man følger de anbefalte prinsippene i forhold til sikring av verdier og deres infrastruktur. Dette gir oss flere grunner til å definere all infrastruktur som kode.

Verdier er en definering av all informasjon som skal beskyttes. Verdier klassifiseres i forskjellige grader der bedriftshemmeligheter og kundedata vil klassifiseres høyere enn etasjeloggen til heisen. Gode verktøy for undersøking av infrastruktur finnes, med databaser som stadig oppdateres i forhold til beste design-praksis. Det er mulig å implementere kodesjekk, samt sjekking av alle avhengigheter. Dette er viktig da mange applikasjoner baserer seg på åpen kildekode, som endres hyppig.

[/vc_column_text][dt_fancy_image image_id=»3137″ width=»600″ caption=»on» image_decoration=»shadow» shadow_color=»rgba(0,0,0,0.6)» image_scale_animation_on_hover=»quick_scale»][/vc_column][/vc_row][vc_row][vc_column][ultimate_heading main_heading=»Noen SkyeTec tips for en sikrere DevOps hverdag!» heading_tag=»h3″ alignment=»left»][/ultimate_heading][vc_column_text]

  • Utarbeid arkitektur og design prinsipper med sikkerhet i fokus
    Bli enige i en tidlig fase om hvilke design og arkitektur prinsipper dere vil benytte DevOps teamet. «Microsoft Azure Well-Architected Framework – Security», og «Azure security best practices fra Cloud Adaption Framework» er en god start.
  • Omsett prinsippene beskrevet over, til teknologi
    Bruk «Azure Policies» og «initiatives» for å håndheve arkitektur og design prinsippene som er utarbeidet.
  • Utarbeid en «landing Zone» strategi
    «Landing Zones» gir deg og din virksomhet et forhåndskonfigurert og sikker Azure plattform (hver gang!) med fokus på moderne sikkerhetsprinsipper! «Azure Landing Zones» fra CAF er en god start.
  • Bruk Azure innebyggede sikkerhetsfunksjoner for å verifisere IaC når den implementeres
    Azure Secure Center og Azure Advisor er en god start.
  • Gjør deg kjent med «Secure DevOps Kit for Azure»
    AzSK
    er en samling skript, verktøy, «extensions,» og metodikk som hjelper deg med å integrere «DevSecOps» sikkerhet i ditt Teams CI/CD og DevOps prosjekt.
  • Bruk verktøy for skanning av kode og infrastruktur
    SNYK er et anerkjent verktøyet og kan implementeres sammen med andre tester ved utrulling av både kode og infrastruktur.
    CHECKOV er et verktøy vi bruker for å sjekke at beste praksis er benyttet ved utrulling av infrastruktur. CHECKOV støtter flere standarder innenfor IaC –  blant annet Azure ARM og Terraform.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][ultimate_heading main_heading=»Konklusjon» heading_tag=»h3″ alignment=»left»][/ultimate_heading][vc_column_text]

Med dagens trusselbilde der alle enheter som er koblet til internett er under stadig angrep, er det kritisk for enhver bedrift å ha en sikker infrastruktur. Dette kan løses ved å ha en sikker praksis fra starten av. All infrastruktur som legges til skyløsninger, bør håndteres ved hjelp av infrastruktur som kode, IaC, slik at man kan få gode sikkerhetssjekker av infrastrukturen før denne settes i produksjon. 

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

#DevSecOps #DevOps #Azure #CICD #FrameWork #ShiftLeft #Sikkerhet #Terraform #ARM

[/vc_column_text][/vc_column][/vc_row]