Infracoders Graz Meetup: Mitigate Potential Compliance Risks

Mitigate Potential Compliance Risks

Das Jahr 2018 startete gleich am 16. Jänner mit dem nächsten Infracoders / DevOps / CloudNative Meetup. Wie gewohnt trafen sich die Infracoders im Aula X Space in Graz, wo sich diesmal alles rund um das Thema Compliance drehte.

Der Vortrag

Gleich zu Beginn demonstrierte Jürgen Brüder (Twitter: @jaybrueder) anhand von verschiedensten Aussagen aus dem WWW, dass Compliance in aller Munde ist und es dringend nötig ist, sich damit auseinanderzusetzen.

Über 75% aller legitimen Webseiten enthalten nicht gepatchte Sicherheitslücken.

Solche Sicherheitslücken können beispielsweise Meltdown oder Spectre sein um nur einige davon aufzuzählen. Nun stellt sich natürlich die Frage was dagegen unternommen werden kann.

Jürgen meinte, dass es durchaus möglich sei jeden Server einzeln manuell zu aktualisieren und abzusichern. Doch wer hat heutzutage die Zeit dies zu machen? Selbst bei einer Anzahl ab mehr als 10 Servern ist der Zeitaufwand enorm, gar nicht daran zu denken wieviel Zeit und Geld investiert werden müsste, wenn ein Unternehmen 100 oder gar 1000 Server betreibt.

Die Frage nach dem: "Was kann man stattdessen tun" drängte sich weiter auf und Jürgen begegnete dieser mit einer kurzen Begriffsdefinition über Compliance. Compliance ist entweder der Prozess Richtlinien und Spezifikationen zu treffen, oder der Status diese beizubehalten. Dafür müssen die Risiken gefunden und laufend dagegen angekämpft werden. Dieser Prozess kann dank Chef Automate automatisiert werden, was folgende Vorteile mit sich bringt: Zum einen wird der Zeitaufwand verringert, die Effizienz gesteigert und die Risiken minimiert.

Um das alles besser zu verstehen führte Jürgen hier eine Demo durch. Hierbei kam gut zum Vorschein, dass sich Chef Automate aus Chef Server, Chef Workflow und Chef Compliance zusammensetzt.

• Chef Server: Zentraler Speicherplatz der Node Konfiguration
• Chef Workflow: CI/CD Tool für den Konfigurationscode
• Chef Compliance: Sicherstellung der Einhaltung von Compliance Benchmarks und Konfigurationen durch automatische Scans

Der Prozess der dahinter steckt setzt sich im Wesentlichen aus diesen Schritten zusammen. Zuerst muss im Hinblick auf Compliance ein Scan durchgeführt werden. Danach wird eine sichere Version lokal gebaut und getestet. Im Anschluss kann diese Version auf die gesamte Infrastruktur automatisch ausgerollt werden um die Sicherheitslücke ganzheitlich zu schließen. Zum Abschluss gab Jürgen noch einen kurzen Einblick in InSpec. Dadurch wird es nämlich erst möglich Compliance in Code zu übersetzen. So kann die Sicherheitspolicy klar ausgedrückt und mögliche Risiken früher gefunden werden. Auch dies demonstrierte Jürgen noch anhand eines praktischen Beispiels, das sich auf drei wesentliche Schritte stützt. Zuerst wird verwaltet und überprüft, danach zusammengearbeitet und abschließend deployed.

Abschließende Fragerunde und Netzwerken

Nach dem Vortrag gesellte sich Edmund Haselwanter zu Jürgen und gemeinsam beantworteten sie alle Fragen und es herrschte ein reger Austausch über die Erfahrungen der Infracoders. Selbstverständlich fehlte auch diesmal ein kleiner Absacker, der wie immer von den Infralovers gesponsert wurde, nicht und regte zum weiteren Austauschen und Netzwerken an.