DevOps-ontwikkelingen beveiligen met geautomatiseerd sleutel- en certificaatbeheer

carl_bourne[2]

Het ontwikkellandschap voor IT-toepassingen verandert snel, met risicovolle gevolgen voor de beveiliging daarvan. Door cryptografische assets tijdens de volledige gebruiksduur te beveiligen met geautomatiseerde policies, wordt de security van nieuwe toepassingen geen bottleneck bij DevOps-projecten.
Grip krijgen op het gebruik van alle sleutels en X.509-certificaten in de huidige IT-wereld van cloud-toepassingen, containers en micro-services, stelt organisaties voor nieuwe uitdagingen. Om sneller nieuwe toepassingen in gebruik te kunnen nemen is een andere securityaanpak nodig.

Kortere ontwikkel- en implementatiecycli

Zakelijke gebruikers en IT-professionals hebben behoefte aan nieuwe IT-services en –omgevingen die schaalbaar en snel zijn. Oftewel Amazon AWS-achtige functionaliteiten en snelheid, voor interne IT-toepassingen. Gartner voorspelt dat in 2017 drie van de vier ondernemingen doorgroeit naar een bimodale IT-infrastructuur, die op verschillende snelheden verandert. Namelijk één omgeving voor alle bestaande apps die stabiel moeten functioneren en een tweede voor snel te implementeren nieuwe IT-toepassingen voor innovaties en businesstransformatie. Om die behoefte in te vullen implementeren steeds meer organisaties processen en tools voor kortstondig te gebruiken virtuele machines, containers en micro-services, in plaats van platformen met een lange levenscyclus.
Terwijl nieuwe generatie tools en frameworks de snelheid en schaalbaarheid van IT-toepassingen vergroten, ondersteunen ze vaak geen gecentraliseerde securityservices. Daarom vallen ze hiervoor terug op traditionele oude, handmatige en foutgevoelige procedures. Soms worden die procedures zelfs genegeerd, ten gunste van sneller opleveren. Digitale sleutels en certificaten vormen echter de fundering om moderne SSL/TLS-communicatie te kunnen beveiligen. Er is geen alternatief voor dit systeem waarop ieders vertrouwen voor online zakendoen is gebaseerd, zodat het gebruikte aantal blijft toenemen. Met het Trust Protection Platform helpt Venafi al veel Global 5000-organisaties om hun sleutels en certificaten geautomatiseerd te beveiligen, tijdens de hele levenscyclus. Via Venafi’s API zijn de inbegrepen securityservices ook eenvoudig te gebruiken voor de nieuwe snelle IT-wereld.

Sneller ontwikkelen met sleutels en certificaten

Voor DevOps-teams behoort het officiële proces om certificaten aan te schaffen tot de ‘SlowOps’-categorie van legacy IT, die hun projecten vertragen. Daarom opereren zij bij voorkeur buiten de beveiligingsgrenzen, policies en richtlijnen van organisaties. Met als voordeel dat er sneller nieuwe services te ontwikkelen en te implementeren zijn. Deze aanpak introduceert echter ook potentiële securityrisico’s en verkeerde gewoonten in die nieuwe toepassingen, ten gunste van de snelheid. Hieronder volgen enkele voorbeelden van shortcuts die DevOps-teams gebruiken bij de aanschaf van certificaten voor hun nieuwe toepassingen:
 • TLS/SSL niet gebruiken
 • Eigen certificaatautoriteiten creëren
 • Zelf ondertekende certificaten maken en gebruiken
 • Gebruik maken van niet-erkende certificaatuitgevers
 • Certificaten creëren gebaseerd op zwakke algoritmes
 • Certificaten implementeren met een lange gebruiksduur
 • Security-policies verkeerd interpreteren of compleet negeren
Het Venafi-platform is te configureren om afhankelijk van de behoefte een deel of alle workflows en processen via de eenvoudig te gebruiken REST API’s toegankelijk te maken. Waardoor ze direct te gebruiken zijn voor bijna alle DevOps, waaronder continue integratie/implementatie, geautomatiseerd bouwen en implementeren en containeroplossingen als Chef, Ansible, Puppet, SaltStack, Hashicorp, Docker, Kubernetes en UrbanCode.

Snelle security voor snelle IT

Het Venafi-platform biedt organisaties de mogelijkheid om alle voordelen van snelle IT te benutten, zonder de beveiliging ervan in gevaar te brengen. Securityverantwoordelijken kunnen namelijk centraal alle benodigde policies definiëren via de Venafi API, om DevOps te helpen correct gebruik te maken van securitypolicies en ‘best practices’. Oftewel Venafi maakt het voor DevOps mogelijk om vanaf het begin ingebouwde security toe te passen. Daarvoor biedt het platform als voordelen:
 • Unieke sleutels en certificaten zijn binnen seconden uit te geven
 • Hetzelfde platform is zowel te gebruiken door DevOps als andere securityverantwoordelijken en systeembeheerders
 • Eenduidig inzicht in de securitypositie en –compliance via integratie met helpdesksystemen en SIM/SIEM-omgevingen
 • Geautomatiseerde sanering en nieuwe uitrol bij veranderende policies en standaarden
 • Automatische meldingen over gedetecteerde afwijkingen binnen of buiten de organisatie
 • Vrijwel ongelimiteerde schaalbaarheid zonder extra administratieve overhead 
Carl Bourne is Global Solutions Architect van Venafi