Richard de Jong Solution Architect
4 januari 2021

Shift-left Security met ‘Stretched’ DevSecOps

Of het nu een pandemie is, een nieuwe technologie die opkomt, of plotselinge ontwikkelingen in de markt: organisaties willen er snel op kunnen reageren. Daarom stappen steeds meer organisaties over op manieren om toepassingen direct in de public cloud te ontwikkelen: cloud native software development.

Cloud native development biedt interessante mogelijkheden om gebruik te maken van bijvoorbeeld microservices, Kubernetes en standaardoplossingen die public cloud providers beschikbaar stellen. Maar dat kent ook haken en ogen. Het vraagt gedegen kennis van deze technologie bij de development teams. Dat moet je wel in huis hebben en anders halen, maar dergelijke kennis is schaars en vaak lastig te vinden. Hetzelfde geldt voor security, dat vaak nog als bijzaak wordt gezien.

“Plaats security aan de linkerkant - het begin - van je ontwikkelproces in plaats van aan het eind (rechts)”
Shift-left security

Het is zeer verstandig de overstap naar cloud native development aan te grijpen om security eerder in het ontwikkelproces te integreren: shift-left. Met andere woorden, plaats security aan de linkerkant – het begin – van je ontwikkelproces in plaats van aan het eind (rechts).

Net zoals ontwikkelaars hun applicatiecode testen voordat het kan worden uitgerold, moeten ze ook beveiligingstests implementeren. Het maakt het opsporen en verhelpen van bugs en andere fouten gemakkelijker en minder tijdrovend. Hoe langer je wacht, hoe moeilijker het wordt om een oplossing te vinden. Door de verschuiving van security naar de ontwerp- en ontwikkelingsfasen te automatiseren, krijg je betere systemen en verminder je de kans op vertraging.

Beveiliging en DevOps zijn zich er steeds beter van bewust, dat ze samen moeten komen om eerder in het ontwikkelingsproces rekening te houden met beveiligings- en compliance-overwegingen. Die manier van secure ontwikkelen wordt ook wel DevSecOps genoemd.

Dit stelt alle belanghebbenden in staat om vroeg in het proces te bepalen of de configuratie acceptabel is. Ontwikkelaars moeten ervoor zorgen dat het systeem werkt zoals bedoeld. Operations moet weten dat het systeem betrouwbaar en onderhoudbaar is. Beveiliging moet weten dat het is geconfigureerd in overeenstemming met best practices en beleid bij implementatie en tijdens operaties, en compliance moet weten dat het voldoet aan audit- en / of regelgevende controles. Hierdoor worden nieuwe cloud native applicaties vanaf de basis secure opgebouwd.

“Deze samenwerking noemen we ‘Stretched DevSecOps’, waarbij onze engineers grote delen van hun tijd op kantoor bij de klant, of in virtuele teams, samenwerken met de in-house developers."
Stretched DevSecOps voor een solide fundament

Wanneer een organisatie nog met grote monolithische applicaties werkt, is de overstap naar nieuwe ontwikkelmethoden ingrijpend. Om in deze nieuwe situatie ook ‘secure by design’ te gaan werken is voor de meeste IT-teams realistisch gezien te veel gevraagd. Steeds vaker wordt dan gekozen voor outsourcing.

Dat kan best spannend aanvoelen, wanneer IT een kritiek onderdeel is van de bedrijfsvoering. Maar met de juiste partner betekent outsourcing geen verlies van controle, maar juist strakke regie door nauwe samenwerking met een ervaren specialist.

Bij Solvinity hebben we hiervoor het software release model Integrated Delivery ontwikkeld. Het bevat drie componenten:

  1. Het maakt gebruik van CI/CD: een methode om voortdurend nieuwe code te ontwikkelen, te testen, te integreren en op te leveren, waardoor applicaties veel efficiënter worden ontwikkeld.
  2. Het put uit een portfolio van zorgvuldig geselecteerde en bewezen effectieve tools, zoals containertechnologie en Kubernetes.
  3. Het is ingericht op nauwe samenwerking tussen de engineers van Solvinity en de teams van de klant.


Deze samenwerking noemen we ‘Stretched DevSecOps’, waarbij onze engineers grote delen van hun tijd op kantoor bij de klant, of in virtuele teams, samenwerken met de in-house developers. Op basis van heldere afspraken en in nauw contact bouwen de teams met elkaar vertrouwen op. Tegelijk worden onze veilige ontwikkelingsprincipes op het gebied van bijvoorbeeld hardening en security by design overgedragen op de ontwikkelteams van de klant.

Voorbereid op disruptie

Dankzij Stretched DevSecOps wordt de basisbeveiliging van iedere organisatie volledig onder controle gebracht. Hierdoor kunnen organisaties snel overstappen naar cloud native development volgens bewezen basisprincipes. De snelheid waarmee we hoogwaardige applicaties operationeel krijgen, blijkt vervolgens een grote stimulans voor andere afdelingen om ook over te stappen op cloud native development. Zo wordt de overstap meteen een goed startpunt om van security-by-design een basisbeginsel voor de hele organisatie te maken.  

Stretched DevSecOps helpt bovendien om de kennis van efficiënte en veilige cloud native software development zo snel mogelijk in je organisatie te verankeren, zodat je organisatie optimaal is voorbereid op de toekomst. Ervaring met grote klanten bij onder meer de centrale overheid, zoals Politie Nederland, en in de financiële dienstverlening heeft dit aangetoond.

Op dat solide fundament bouwen we vervolgens, samen met de klant, naar een platform dat ruimte biedt voor innovatie en groei – ook als de volgende disruptie voor de deur staat.

Meer lezen over Integrated Delivery? Download dan het white paper Integrated Delivery of neem contact met ons op voor een afspraak.

Meld je aan voor de Solvinity Nieuwsbrief

Ontvang het laatste nieuws, blogs, artikelen en events.

Lees ook

Meer