Security-ontzorging bij multicloud

Het huidige IT-landschap voor bedrijven is diverser dan ooit. Bedrijven kunnen hun concurrentiepositie verbeteren met een combinatie van mobiel, IoT en cloud, maar ook opkomende technologieën zoals AI. Een complex geheel, wat kansen biedt maar ook risico’s brengt. Met de toenemende omvang en ernst van bedreigingen voor cyberveiligheid is deze extra complexiteit mogelijk een bron van nieuwe kwetsbaarheden. Om dit probleem doeltreffend te kunnen aanpakken, moeten we veel meer nadruk leggen op integratie, vooral als het gaat om IT-processen die samenhangen met de levenscyclus van software.

2 tot 16 clouds

Enterprise IT heeft de afgelopen jaren al veel verschillende fases doorlopen, van de fysieke naar de virtuele fase, via de cloud naar de hybride multi-cloud. De verschuiving naar hybride multi-cloud heeft op zijn beurt geleid tot het einde van de ‘one-cloud-fits-all’ aanpak, waardoor een doorsnee onderneming nu twee tot zestien verschillende cloudleveranciers gebruikt.

Als gevolg van deze trend kijken veel organisaties nu naar Kubernetes om het beheer van applicaties te vereenvoudigen, waardoor cloudportabiliteit en snelle leveringen gedurende de volledige levenscyclus van de software worden gewaarborgd. Dat wordt verder ondersteund door het gebruik van een microservicesarchitectuur die afzonderlijke, vaak monolithische toepassingen opsplitst in een verzameling kleinere, onafhankelijk van elkaar inzetbare diensten die door verschillende teams worden beheerd.

Het model is zeer efficiënt voor het verbeteren van de flexibiliteit van levering en onderhoud, maar het creëert ook een aantal uitdagingen op het gebied van integratie. Tenzij er een gezamenlijke aanpak kan worden geïmplementeerd, kan het beheer van talrijke applicatieconfiguraties, integraties en versies over meerdere ecosystemen en ontwikkelingsteams heen uiteraard leiden tot een verhoogde vatbaarheid voor cyberbedreigingen.

Legacy achterlaten

Op dit moment ontbreekt het veel organisaties aan de cruciale capaciteiten die nodig zijn om dat te bereiken. IT-siloprocessen blijven een probleem. Traditioneel wordt een applicatie bijvoorbeeld in zijn geheel ontwikkeld en vervolgens afzonderlijk beoordeeld en achteraf aangepast om het te beschermen. Deze silo-benadering van ontwikkelingen is niet langer houdbaar. Effectieve applicatiecybersecurity moet van a tot z ingebed zijn in het proces, wat betekent dat specialistische betrokkenheid vanaf de architectuurfase nodig is. Niet alleen na het coderen en bouwen.

Daarnaast is een geïntegreerde DevOps-aanpak essentieel om efficiënte cybersecurity te garanderen. In het verleden werden ontwikkeling en beheer (operations) juist gescheiden gehouden. Steeds vaker moeten organisaties op continue basis diensten en aanbiedingen kunnen ontwikkelen, testen en vrijgeven. Dit betekent dat zij feedback van klanten en andere betrokkenen moeten kunnen verwerken en zich daarbij moeten aanpassen aan nieuwe zakelijke, technologische en wettelijke vereisten wanneer deze zich voordoen.

DevOps aansturen

Een aantal best practices zorgt ervoor dat DevOps veilige applicaties aflevert. Door de complexiteit van het microservicemodel is een nauwere samenwerking met cloudpartners, externe leveranciers en systeemintegratoren een must bij het ontwerpen van nieuwe architecturen. Benaderingen zoals het gebruik van de Unified Modelling Language kunnen voor algemene duidelijkheid in de architectuur zorgen. Door meer samenwerkingsprocessen op te zetten, zoals het dynamisch delen van architectuurveranderingen door betrokkenen via de cloud, kunnen kwetsbaarheden in de levenscyclus bovendien eerder in kaart worden gebracht en gereduceerd.

Het optimaliseren van testen is een andere manier voor IT om de beveiliging van applicaties te verbeteren. Het is altijd al een uitdaging voor IT-professionals geweest effectieve testomgevingen te creëren om de kwaliteit van een eventuele softwareverandering te beoordelen. Aan die uitdaging wordt nu nog een geheel nieuwe laag van complexiteit toegevoegd.

Deze nieuwe laag komt voort uit de opkomende behoefte aan end-to-end testen van scenario's die afhankelijk zijn van API's met meerdere externe belanghebbenden, nieuwe technologie en bestaande systemen. Er zijn nu gevirtualiseerde testomgevingen nodig, en het testen van de functionaliteit, prestaties, integratie en beveiliging van applicaties wordt geautomatiseerd gedurende de gehele ontwikkeling en operatie. Dat vraagt om veilige verbindingen, zodat toegang kan worden verleend via de firewalls van externe partners en dienstverleners. Zonder deze elementen zal een onderneming altijd kwetsbaar zijn.

Inzicht in eigen IT

Het vermogen om het IT-proces te begrijpen en te optimaliseren, daarin ligt voor bedrijven de sleutel tot hun nieuwe IT-omgeving. Veel organisaties wenden zich daartoe tot value stream mapping. In een microservicesomgeving kan het bijvoorbeeld moeilijk zijn om te bepalen welke elementen van het ontwikkelings- en bedrijfsproces het eerst moeten worden aangepakt.

Value stream mapping helpt bij het evalueren van processen en het identificeren van inefficiënties in softwareontwikkeling en -levering. Door gebruik te maken van geautomatiseerde tools voor het verzamelen en analyseren van gegevens uit de gehele architectuur en ook uit de test- en releasefasen van de ontwikkeling, kunnen bedrijven zien waar er knelpunten zitten. Gewapend met die kennis kunnen ze het nodige doen om de ontwikkeling te optimaliseren.

Tot slot is de snelle en effectieve levering van veilige, betrouwbare software ook sterk afhankelijk van een consequent beheer, plus controle en inzicht in de bedreiging die uitgaat van applicaties en gegevens. De best practices die we hier bespreken, kunnen daar een grote bijdrage toe leveren, maar er is nog één ding dat veel organisaties nodig hebben om efficiënt te zijn: cultuurverandering. Dat is een heel andere uitdaging. Om te slagen, moeten zowel de leiding van het bedrijf als de interne teams en de externe partners de nieuwe manier van werken overnemen, en dat zal de nodige inspanningen vergen.