5.7.4. Link met andere maatregelen (DevOps)
Bij het werken met DevOps zijn er links met alle andere maatregelen uit het Informatieclassificatieraamwerk. Waar relevant werd hier reeds naar verwezen in sectie 1. Minimale maatregelen.
Echter, bepaalde vereisten opgenomen in andere documenten met Minimale Maatregelen uit het Informatieclassificatieraamwerk zijn in de praktijk niet altijd letterlijk haalbaar wanneer er met een DevOps-werkwijze en een cloudgebaseerde opzet gewerkt wordt. Hieronder wordt toegelicht voor welke vereisten dit het geval is, en hoe er alsnog tegemoet wordt gekomen aan de noden van deze vereisten op een andere manier.
5.7.4.1. Minimale maatregelen asset en configuratiebeheer
De Minimale Maatregelen rond Asset- en Configuratiebeheer vereisen het definiëren van alle componenten van de ICT-omgeving als configuratie-items. In een snel veranderende omgeving zoals de cloud kunnen er gemakkelijk virtuele machines toegevoegd of vervangen worden, bijvoorbeeld met autoscaling groups. Daarnaast wordt er ook heel vaak gebruik gemaakt van container-gebaseerde omgevingen, zoals Kubernetes clusters.
In beide scenario’s blijft het uiteraard absoluut aangewezen om vanuit Asset- en Configuratiebeheer deze ICT-componenten op te volgen. Het zou echter zinloos zijn om te proberen alle virtuele machines in een autoscaling-opzet, of containers in een Kubernetes-cluster te inventariseren en op te volgen, aangezien dit geen permanente resources zijn. Om die reden is het bij het gebruik van DevOps en cloud van groot belang om op het juiste abstractieniveau aan asset management te doen, in dit geval bijvoorbeeld op het niveau van de autoscaling group of de Kubernetes cluster, en niet op het vluchtige subniveau daarvan.
5.7.4.2. Minimale maatregelen wijzigingsbeheer en release en deployment beheer
Bij een DevOps-manier van werken wordt code typisch zeer frequent gedeployed, mogelijk zelfs meerdere keren op eenzelfde dag. De Minimale Maatregelen voor Wijzigingsbeheer en de Minimale Maatregelen voor Release- en Deploymentbeheer bevatten echter een heel aantal vereisten die in de praktijk voor DevOps-teams moeilijker haalbaar zullen zijn.
Zo wordt in de Minimale Maatregelen voor Wijzigingsbeheer aangegeven dat wijzigingen aan een Change Advisory Board (CAB) moeten worden voorgelegd, en voor bepaalde informatieklassen zelfs aan de Data Protection Officer (DPO). In het geval van DevOps is zoiets praktisch uiteraard zeer lastig. Echter, de integratie, opname of zelfs automatisatie van verschillende beveiligingsprocessen zoals onder meer code review, secret scanning, SAST, DAST, etc. in de Continuous Integration en Continuous Deployment (CI/CD) pipeline zal dezelfde principes die normaal door een Change Advisory Board opgevolgd worden garanderen.
Een andere vereiste is de maatregel rond het opnemen van alle wijzigingen in een logboek. Bij DevOps wordt op een andere manier voldaan aan deze vereiste: alle codewijzingen zoals commits en merges waarbij een ontwikkelaar wijzigingen aanbrengt in de broncode van een softwareproject worden getraceerd in het versiebeheersysteem, en elke wijziging wordt normaliter voorzien van een omschrijving.