Wachsende Sicherheit in DevOps bei der Rabobank

Der Geschäftsbereich Retail NL Tech der Rabobank liefert und betreibt Anwendungen, mit denen Kunden interagieren, um ihre digitalen Banking-Anforderungen zu erfüllen. Innerhalb der Abteilung arbeiten Dutzende von DevOps-Trupps an Hunderten von Diensten und Anwendungen und entwickeln und pushen stündlich neue Funktionen. Rabobank ist stolz darauf, Sicherheit ernst zu nehmen, und eine der Initiativen, die diese Einstellung unterstreicht, war, wo Booleans ins Bild kamen.

Über die Rabobank

Die Rabobank ist eine Genossenschaftsbank mit einer Mission. Gemeinsam mit ihren Stakeholdern engagieren sie sich seit über 125 Jahren für eine nachhaltige Gesellschaft und große gesellschaftliche Herausforderungen. Heute sind sie mit mehr als 43.000 Mitarbeitern in 37 Ländern aktiv. In den Niederlanden bedienen sie Privat- und Firmenkunden mit einer breiten Palette an Finanzprodukten und -dienstleistungen. Sie konzentrieren sich weltweit auf Unternehmer und Unternehmen in der Lebensmittel- und Agrarindustrie.

Sicherheit während des gesamten Softwareentwicklungszyklus

Bei der Rabobank wird von den Devops-Teams erwartet, dass sie so autonom wie möglich sind und den größten Teil der Verantwortung für die Bereitstellung funktional korrekter, stabiler, leistungsfähiger und sicherer Anwendungen tragen. In puncto Sicherheit sind sie damit nicht allein. Bevor beispielsweise neue Funktionen das Licht der Welt erblicken, werden diese von Sicherheitsspezialisten der Rabobank ausgiebig getestet.

Abgesehen von Sicherheitstests strebt Rabobank danach, Sicherheit in den gesamten Softwareentwicklungszyklus zu integrieren. Um dies zu erreichen, ist ein hohes Maß an Sicherheitsbewusstsein und Empowerment innerhalb der Devops-Teams von entscheidender Bedeutung.

Schaffung von Sicherheitsbewusstsein und Empowerment

Im Jahr 2021 bildete die Rabobank ein neues Team von Spezialisten, um die Sicherheitslage der Devops-Trupps auf die nächste Stufe zu heben. Ein Senior Digital Security Specialist von Booleans schloss sich diesem Team ebenfalls mit seiner Expertise an.

Das Team begann mit der Entwicklung eines Security Maturity Model, das lose auf dem DSOMM-Modell von OWASP definiert, aber stark auf den Kontext der Rabobank zugeschnitten ist. Dieses Modell wird von Devops-Teams verwendet, um ihre eigene Sicherheitsreife zu bewerten und weiteres Wachstum zu planen. Es bietet dem Sicherheitsteam auch Einblicke, wo es den Trupps auf ganzer Linie helfen kann. Zum Beispiel in verschiedenen Werkzeugen für Sicherheitsscans.

Spezielle Schulungen wurden intern entwickelt, um das Wissen der Ingenieure in den Bereichen API-Sicherheit, Bedrohungsmodellierung, praktisches Hacken und vieles mehr zu erweitern. Dies führte zu einem viel höheren Bewusstsein für bewährte Sicherheitsverfahren, was den Ingenieuren dabei half, Sicherheitsprobleme besser zu verstehen, Sicherheitsbedenken in Peer-Reviews zu berücksichtigen und proaktiver bei der Implementierung von Sicherheitsmaßnahmen zu sein. Diese Trainingseinheiten wurden aufgrund der interaktiven Art und Weise, wie sie unterrichtet wurden, und des Fokus auf sowohl offensive als auch defensive Sicherheit sehr beliebt.

Das Team hat auch die Tools, die bereits verwendet wurden, um Schwachstellen in der Software zu erkennen, gründlich unter die Lupe genommen. Alle Mängel oder Ineffizienzen wurden behoben, indem Sicherheitstools entweder repariert, ergänzt oder sogar ersetzt wurden.

Aufgrund dieses praxisnahen Ansatzes und der hohen Sichtbarkeit dieses neuen Sicherheitsteams wurde das Team schnell zur ersten Anlaufstelle, wenn Ingenieure neue Sicherheitslücken (wie Log4Shell) bekämpften, wenn sie Sicherheitsunterstützung bei ihren Anwendungsdesigns benötigten oder wenn ein zusätzliches Paar Augen auf ihre Implementierung oder Produktionswarnungen gewünscht wurde.

Bei der Bildung dieses neuen Sicherheitsteams handelte es sich zunächst um ein Pilotprojekt bei der Rabobank. Heutzutage ist die Anwesenheit des Teams einfach selbstverständlich und gilt als bewährtes Konzept.

Indem die Sicherheit in die Reichweite der Entwicklerteams gebracht wird, macht es viel mehr Spaß, ist ansprechender und effektiver bei der Bereitstellung sicherer Software!

Maarten Bovy
IT Lead Online bei der Rabobank