Open source-specialist Adfinis ziet dat er bij bedrijven vaak sprake is van een ‘secret sprawl’: vertrouwelijke gegevens zoals wachtwoorden die overal en nergens staan. Robert de Bock vertelt waarom het belangrijk is om orde in die chaos te krijgen en hoe je dat doet.
Adfinis is een open source-specialist die verschillende IT-diensten en oplossingen biedt, vooral op het gebied van Infrastructure as Code. “Secret Management is dan bijna altijd een belangrijk onderwerp”, zegt Robert de Bock, die DevOps Architect is. Hij werkt voor de Nederlandse tak van Adfinis. Er zijn ook vestigingen in Zwitserland, Australië en sinds kort Duitsland. Tussen die verschillende vestigingen wordt intensief samengewerkt.
Wachtwoord op een papiertje
Adfinis heeft zich gespecialiseerd in de producten van een selecte groep leveranciers, in Nederland vooral HashiCorp, Red Hat en GitLab. Een bijzonder securityproduct dat Adfinis vaak implementeert is HashiCorp Vault. Dat neemt een klein stukje van de securitypuzzel voor zijn rekening, maar met name voor overheden, banken en verzekeraars is het wel een belangrijk puzzelstukje. “Simpel gezegd is het een secrets manager”, zegt De Bock. “Je wordt als bedrijf zeker niet meteen veiliger als je voor Vault kiest, maar als je het goed gebruikt, biedt het veel voordelen.”
De Bock legt uit wat Vault doet. “HashiCorp Vault maakt het mogelijk om systematisch, op grote schaal geheimen te beheren, zoals een wachtwoord of toegangsgegevens. Het maakt vaak gebruik van short-lived-secrets, waarbij het credentials aanmaakt die een zeer korte periode te gebruiken zijn. Ideaal voor bijvoorbeeld automatische cloud-deployments, of CI-pipelines.” Het is vooral interessant dat je daar een periode aan kunt koppelen, legt hij uit. “Je moet dan eerst via Vault je gegevens ophalen en krijgt daarna bijvoorbeeld een dag of een uur lang toegang tot een bepaalde mailbox. Dat iemand zijn wachtwoord op een papiertje schrijft en in de auto laat liggen, is daardoor eigenlijk geen risico meer.”
Dat is handig voor mensen, maar nog handiger voor systemen, vervolgt hij. Met name bij automatisch testen. “Als cloudprovider wil je dat je CI-pipeline dan veilig toegang krijgt tot een grote hyperscaler. Vault is daar heel sterk in. Voor banken en verzekeraars is dat heel belangrijk. Ze moeten op dit vlak aan richtlijnen voldoen en het heeft ook direct invloed op hun risicoprofiel. Dat risicoprofiel bepaalt weer hoeveel geld ze in kas moeten hebben en dus ook hoeveel ze kunnen investeren. Het vertaalt zich dus direct door naar de business.”
Andere implementaties die Adfinis vaak doet zijn Terraform (ook van HashiCorp) en Ansible (van Red Hat). Het zijn enigszins vergelijkbare oplossingen die het mogelijk maken om ‘infrastructuur als code’ te implementeren. “Het gaat daarbij vaak over de vraag hoe veilig je iets wilt deployen. Terraform is goed in de infrastructuur, zoals virtuele machines, load balancers en netwerken. Ansible is heel handig voor klanten die voor een deel geautomatiseerd zijn, maar die niet volledig cloud native zijn. Het ligt echt aan de situatie wat de beste keuze is. Vaak komen klanten uit op een mix. Wij zien het als onze toegevoegde waarde om daar onafhankelijk over te adviseren.”
Liefkozend
De belangrijkste ontwikkeling die hij ziet is de schaalvergroting. “Vroeger hadden beheerders met een handjevol machines te maken. Die behandelden ze liefkozend en gaven ze vaak zelfs een naam. Dat paste in hun hoofd of ze konden het op een whiteboard tekenen. Dat is bij een gemiddelde klant nu absoluut onmogelijk. Vaak is er dan sprake van een zogeheten secret sprawl. Geheimen staan overal en zijn onbeheersbaar. Als je een wachtwoord van bijvoorbeeld een database-service wilt veranderen, dan is de impact daarvan onvoorspelbaar. Daar helpen producten zoals Vault heel goed bij.”
Hij merkt dat security in het algemeen hoger op de agenda staat dan een paar jaar geleden. “Een product als Vault had je vroeger moeilijk kunnen verkopen. Nu snappen mensen beter wat het probleem is. Wij houden absoluut niet van bangmakerij, maar je merkt wel dat mensen door alle verhalen die ze horen bewuster zijn geworden. We zien ook vaak dat bedrijven het idee hebben dat ze iets met security moeten doen en maar gewoon een product willen kopen. Dat is zeker niet de goede route. Je moet echt kijken naar welk probleem je hebt en wat je op wil lossen. Daar helpen we bij. We hebben een ‘succes package’ waarmee we het overstappen op het gebruik van onder meer Vault in stukken hebben gehakt. Zeker grotere bedrijven moeten we vaak bij de hand nemen, omdat de gebruikers, de developers, daar vaak niet bij de keuze betrokken zijn geweest. Ze komen er pas vrij laat achter welke uitdaging het product voor hen oplost.”
Sleutel in handen
Een project dat mooi illustreert hoe Adfinis werkt, is die bij de Europese Commissie, legt De Bock uit. “Wij hebben geholpen met ons ‘Succes Package’. Er is een dag geweest waarop we uitleg hebben gegeven over onder meer de installatie. Daarna konden ze de backlog vullen. We zijn vervolgens meerdere keren langs geweest om de implementatie af te ronden. Ook hebben we de administrators een workshop gegeven over hoe alles werkt en welke policies er zijn. Binnenkort volgen er nog sessies voor de developers. Zo krijgen ze dit grote product op de rit, op een optimale manier. Als ze dat zelf hadden moeten uitvinden, was dat een heel lang project geweest. Dat is precies waar onze toegevoegde waarde zit. Bij projecten van deze aard willen we onze kennis overdragen en dan een stap terug kunnen zetten. Bedrijven moeten in staat zijn om hun eigen gevoelige securityplatformen te beheren.”
Coen Hamers (Country Manager Nederland bij Adfinis) over Protinus: “Met Adfinis Nederland werken we al vanaf onze oprichting samen met Protinus IT. De synergie tussen beide bedrijven heeft geleid tot een succesvolle samenwerking die waarde toevoegt op het gebied van open source-software. We hebben onze gezamenlijke kennis mooi kunnen verweven in de dienstverlening van beide bedrijven.”
Robert de Bock (DevOps Architect Adfinis)