Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Lang leve veiligheid, lang leve wegwerp-servers!

Computable Expert

ir. Jan Willem ter Steege BSc
Algemeen Directeur, Easy Systems BV. Expert van Computable voor de topics Digital Transformation, Cloud Computing en Security.

Een bijkomend voordeel van het werken met geautomatiseerde beheerprocessen in de cloud is het verlagen van de kans dat kwaadaardige software voor lange tijd in een cloud-omgeving aanwezig is. Het automatiseren van cloudbeheerprocessen leidt tot efficiëntie en snelheid, maar ook tot een verlaging van beveiligingsrisico's. Dit draagt bij aan de businesscase voor het verder automatiseren van cloudbeheerprocessen.

Wat opvalt bij de evaluatie van ransomware-aanvallen is dat kwaadaardige software vaak al langer op systemen aanwezig is, ver voordat deze daadwerkelijk in actie komt en data gaat versleutelen. Dit kan bijvoorbeeld als er misbruik wordt gemaakt van zero-day-kwetsbaarheden. Moderne ransomware weet zich goed te verbergen op systemen waardoor detectie niet gegarandeerd is. Natuurlijk kan goede detectie-software helpen bij het opsporen van dit soort situaties, maar er komt ook hulp uit onverwachte hoek, namelijk door de inzet van 'wegwerp-servers'.

Image

"De Docker-containers vormen een gecontroleerde omgeving waarbinnen de software draait"

De software die binnen ons bedrijf ontwikkeld wordt, draait binnen Docker-containers. De Docker-containers vormen een gecontroleerde omgeving waarbinnen de software draait. Een Docker-container wordt gemaakt op basis van een Docker-'image'. We passen 'hardening' toe bij het tot stand brengen van de containers. Dat betekent dat alleen de ondersteunende (systeem) software wordt geïnstalleerd die ook echt door onze software wordt gebruikt. Alle overbodige software wordt niet geïnstalleerd.

Een Docker-container-image is nadat deze eenmalig is gebouwd niet te muteren (immutable). Bij elke herstart is de software weer terug in de staat zoals hij oorspronkelijk is ontworpen en daarmee ook ontdaan van eventuele ransomware.  De container-images worden tevens continue gescand op kwetsbaarheden voordat ze worden uitgerold in de cloud.

De installatie van Docker-containers in de cloud (op virtuele servers) doen we met behulp van Kubernetes. Kubernetes zorgt voor een geautomatiseerde uitrol van de containers (Kubernetes-pod’s) op virtuele servers waarbij de continuïteit van de dienstverlening is gewaarborgd. Kubernetes bewaakt de belasting van de van de virtuele servers en schaalt automatisch bij of af. We kunnen hierdoor de Docker-containers vervangen zonder grote serviceonderbreking.

Infrastructure-as-code

Naast de software in Docker-containers (toepassingen) wordt ook de infrastructuur (servers, Kubernetes cluster, storage, networking) door middel van code gedefinieerd en volledig automatisch uitgerold. Onze cloud-engineers programmeren dit in scripts. De code die zij daarvoor schrijven wordt net als die van onze softwareontwikkelaars ondergebracht in Git-repositories. Dit staat ook wel bekend onder de naam infrastructure-as-code (iac).

Als onderdeel van de beheerprocedures rond onze cloud-omgeving worden infrastructuur inclusief toepassingen met een hoge frequentie compleet vervangen. De oude omgeving wordt verwijderd. Dit zorgt ervoor dat er weer een volledig gecontroleerde en bekende omgeving staat, waar alleen software op draait die wij erop gezet hebben (clean install).

Nooit lang aanwezig

Door bovenstaande werkwijze zijn de software en de virtuele servers nooit lang aanwezig in de cloud. Mocht er kwaadaardige software zonder ons medeweten geïnstalleerd zijn, dan wordt deze verwijderd op het moment dat de hele omgeving inclusief virtuele servers wordt vervangen. De kans dat zich kwaadaardige software binnen onze omgeving bevindt is daarmee niet weg, maar de kans dat deze zich lang op onze omgeving bevindt is wel een stuk kleiner geworden.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-03-01T14:35:00.000Z Jan Willem ter Steege
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.