Venafi maakt de resultaten bekend van een onderzoek onder DevOps-professionals naar het gebruik van digitale certificaten. Van 108 geïnterviewden tijdens de DevOps Enterprise Summit 2019 (DOES19) maakt 75 procent zich zorgen over vertraging van softwareontwikkelingen door de policy’s voor certificaatuitgifte.
Ruim een derde (39 procent) is van mening dat ontwikkelaars deze policies moeten kunnen omzeilen, voor het behalen van service level agreements. Minder dan de helft (48 procent) denkt dat ontwikkelaars binnen hun organisatie certificaten altijd via een door het securityteam goedgekeurde methode en leverancier aanvragen.
Onveilige machine-identiteiten en certificaten
Encryptiesleutels en digitale certificaten zijn cruciale machine-identiteiten voor het veilig authenticeren en communiceren met applicaties, servicecontainers en API’s op bedrijfsnetwerken, het Internet en in clouds. Daardoor leidt het gebruik van zwakke of ongeautoriseerde sleutels en certificaten tot aanzienlijk grotere securityrisico’s. Ontwikkelaars gebruiken echter onveilige machine-identiteiten en certificaten van niet geautoriseerde ‘certificate authorities’ (CA's), of zelf ondertekende certificaten, om trage procedures van certificaatuitgifte te omzeilen. Daarmee passeren ze securityteams en introduceren ze onverantwoorde securityrisico’s, zeker als daardoor fouten en kwetsbaarheden in de productieomgeving terechtkomen.
Snelheid versus security
“Bij DevOps staat alles in het teken van snelheid en uit dit onderzoek blijkt dat ontwikkelaars security procedures vaak vertragers vinden”, zegt Kevin Bocek, vice president security strategy & threat intelligence bij Venafi. “Helaas zijn securityprofessionals zich onvoldoende bewust van de risico’s die DevOps-processen met zich meebrengen. Idealiter moeten zij meer invloed hebben op het gebruik van machine-identiteiten door ontwikkelaars. De uitgifte en het beheer daarvan moet sneller en eenvoudiger worden georganiseerd om een exponentiële groei van problemen en risico’s te voorkomen. Om te kunnen vertrouwen op DevOps zijn transparantie, intelligentie en automatisering nodig voor het beschermen van alle gebruikte machine-identiteiten.”
Op woensdag 25 en donderdag 26 maart 2020 vindt in het Van der Valk Hotel in Utrecht voor de zevende keer de Data Warehousing & Business Intelligence Summit plaats. Dit onafhankelijke congres wordt wederom georganiseerd door Adept Events, en heeft oo...
8 april 2020Praktisch seminar waarin Sander Hoogendoorn u laat zien hoe u microservices kunt inzetten in uw softwarearchitectuur.Het nieuwste architectuurprincipe microservices lijkt veelbelovend: verkorte time-to-market, schaalbaarheid, autonomie, u...
4 juni 2020Workshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 15.Intensieve cursus waarin alle basisfunctionaliteiten van Enterprise Arc...
11 en 12 juni 2020 Praktische tweedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikb...
17 en 18 juni 2020Tweedaagse workshop over probleem-analyse door Adrian Reed.This practical, hands-on workshop by Adrian Reed, focusses on the problem-solving skills that practitioners need in order to collaboratively explore and describe problems, a...
26 en 27 november 2020 Praktische tweedaagse workshop met internationaal gerenommeerde spreker Alec Sharp We horen regelmatig over het belang van "alignment" in het bereiken van succes bij het werken met bedrijfsprocessen, maar alignment m...
Deel dit bericht