DevOps - Tietoturvan on aika muuttua


2014-04-23, 19:19 Kirjoittanut Jani Ekqvist

DevOps-ajattelu leviää firmasta toiseen ja projektista projektiin. DevOps syntyy ketterästä sovelluskehityksestä ja hyvästä operoinnista. Mutta pystyykö tietoturva taipumaan mukana?Security to DevOps

Sanoisin, että helposti. Tämä on muutos, josta tietoturva kokonaisuudessaan hyötyy. Operations on samoilla linjoilla tietoturvaihmisten kanssa, onhan operoinnissa tärkeää luotettavuus, vakaus ja toistettavuus. DevOpsin tietoturvassa pitää siis panostaa Developmentiin. Ja vanha totuus tietoturvasta on, että se tulee sitä halvemmaksi, mitä aikaisemmin se saadaan prosessiin mukaan. Todellisuus ei oikeastaan ole muuttunut niin paljon kuin teoria. Kehityksessä tietoturva jää usein kiireen jalkoihin ja DevOpsissa on aina kiire, joten tässä on tilaisuus sopeuttaa tietoturvan menetelmät todellisuuteen.

Koulutetaan kehittäjät tietoturvaan

Kehittäjiä voidaan tukea lopulta hyvin yksinkertaisin keinoin. Tuetaan arkkitehtuurisuunnittelua, jotta lähtökohdat ovat mahdollisimman turvalliset. Pidetään huolta kehittäjien tietoturvaosaamisesta säännöllisellä koulutuksella. Tarjotaan lyhyitä ja ymmärrettäviä tarkastuslistoja tietoturvan koodikatselmointiin. Pidetään huolta yrityksen ja projektin turvallisuuskulttuurista, tehdään yksikkötestejä ja varataan aikaa laadun parantamiseen.

Kehitetään testausautomaatiota

DevOpsin ytimenä on julkaisuprosessin virtaviivaistaminen automatisoimalla. Perinteinen käsin tehty tietoturvatestaus ei tähän malliin istu. Nyt on siis aika ja mahdollisuus kehittää tietoturvan automaattitestausta. Integroidaan ohjelmallinen koodianalyysi mukaan projektin käännösprosessiin, ja lisätään automaattinen tietoturvaskannaus osaksi julkaisutestejä. Tämänhetkinen tuki työkaluissa on vielä vaihtelevaa, mutta esimerkiksi BDD-Security –projekti integroi Behaven, OWASP Zapin ja Seleniumin näppärästi kiinni toisiinsa ja Jenkinsiin.

Otetaan hyöty irti automaattisesta konfiguraationhallinnasta ja julkaisuprosessista

Lähdekoodin hallintaan työkaluja on kehitetty vuosikymmeniä, ja nykyiset IDEt osaavat pitää huolta perusasioista. Mutta kun vastaan tulee projektiin liittyvää konfiguraatiota, oli se sitten xml:ää tai tekstitiedostoja, tahtovat työkalut olla aseettomia. Onko tämä tai tuo parametri turvaton tai huono valinta, yliajaako tuo asetus nämä? Merkittävä osa tietoturvaongelmista on seurausta virheellisestä konfiguroinnista. DevOpsin automaattinen konfiguraationhallinta vähentää inhimillisen virheen mahdollisuutta tuotannossa. Kun konfiguraatio on kertaalleen saatu kuntoon, se pysyy luotettavasti ennallaan julkaisusta toiseen.

Nautitaan tietoturvakorjausten nopeasta viennistä tuotantoonSecurity in DevOps

Kun pahin sitten ennemmin tai myöhemmin tapahtuu, on DevOps parasta mitä projektilla voi olla tukenaan. Haavoittuvuuden löydyttyä korjaus saadaan hetkessä tuotantoon, ja murron jälkiä siivotessa puolestaan on rauhoittavaa tietää, että järjestelmä on tehty nostamaan pystyyn uusia virtuaalikoneita tarpeen mukaan. Konfiguraatioiden aiempi tila on tiedossa ja tallessa, ja muutokset pystytään paikallistamaan.


comments powered by Disqus