A photo showing two of our consultants, Vincent Verweij and Marnik Van Hileghem. arrow Back to overview

Hoe Implementeer Je DevSecOps in AKS?

01.06

Security is allang niet meer iets waar je enkel aan denkt na development, net voor de release. Zeker met containers en Kubernetes in cloud-native stacks is het gewoon een integraal onderdeel van het hele ontwikkelproces geworden. Vaak gaat het dan over ‘Shift Left’: security zo snel mogelijk inbouwen in je proces. 

Maar hoe pak je zo’n shift concreet aan in een CI/CD pipeline? Denk aan drie cruciale fases: scannen vóór deployment, policies afdwingen op je cluster, en continue monitoring wanneer het effectief draait. In deze blog leggen we je uit hoe je elke fase aanpakt en welke tools je nodig hebt. 

Fase 1: Scannen vóór deployment (pre-deployment analyse) 

De eerste en misschien wel belangrijkste stap in je DevSecOps-pipeline is het analyseren van je code en artefacten voordat ze effectief op je AKS-cluster terechtkomen. Door problemen hier al te detecteren, bespaar je later tijd en kosten. 

De pre-deployment fase bestaat uit verschillende soorten scans 

  • IaC static analysis 
  • Manifests en Helm charts 
  • Container image scans 
  • Dependency scanning 

Begin met een statische analyse van je Infrastructure as Code (IaC). Tools als Checkov scannen je IaC (Terraform, Bicep, ARM) op bekende misconfiguraties of securityrisico’s nog voor je infrastructuur wordt aangemaakt. Zo zorg je ervoor dat de basis al meteen veilig is. 

Vervolgens kijk je naar je Kubernetes-manifesten en Helm-charts. Ook hier kunnen onveilige instellingen insluipen, zoals containers die onnodig als root willen draaien. Tools zoals KubeSec of Trivy (maar evengoed Checkov) helpen je om die te identificeren. Ze kunnen je ook waarschuwen als er per ongeluk secrets in plain text of Base64-encoded in je manifesten staan, iets wat je natuurlijk wil vermijden. Meer daarover lees je in onze dedicated blog over secret management in AKS. 

Een andere essentiële check is de container image scan. Je images bestaan uit verschillende lagen, inclusief OS-packages en applicatie-libraries, die bekende kwetsbaarheden (CVEs) kunnen bevatten. Door je images te scannen met tools als Trivy of Snyk voordat je ze naar een registry pusht, weet je welke risico’s je meeneemt. Op basis daarvan beslis je of je de image moet patchen of blokkeren. 

Tot slot is er dependency scanning. Moderne applicaties gebruiken veel externe libraries en packages, die zelf kwetsbaarheden kunnen bevatten. Trivy kan hierbij helpen door een Software Bill of Materials (SBOM) genereren, een lijst van al je directe en indirecte dependencies. Tools als Dependabot waarschuwen je dan voor bekende kwetsbaarheden in die dependencies en kunnen zelf een veilige versie voorstellen. 

Al deze scans voer je idealiter uit tijdens de CI-fase van je pipeline. Nog beter is het om sommige checks al via plug-ins in de IDE van developers te integreren. Het doel is duidelijk: detecteer problemen zo vroeg mogelijk, maak developers bewust van de risico’s, en fix issues wanneer het nog relatief eenvoudig en goedkoop is. 

Fase 2: Policies afdwingen op de cluster (admission control) 

Static analysis is een cruciale eerste stap, maar het houdt natuurlijk niet álles tegen. Soms glipt er toch een configuratie door, of probeert er iemand handmatig iets onveilig te deployen. Daarvoor dient fase 2: policies direct afdwingen op de cluster via admission control. Zie het als een set regels die bepaalt wat er wel en niet toegelaten wordt op je AKS-omgeving. 

De de facto standaard hiervoor in de Kubernetes-wereld is Open Policy Agent (OPA), vaak geïmplementeerd via Gatekeeper, dat specifiek voor Kubernetes is ontworpen. Azure Policy for Kubernetes, dat we uitgebreid hebben besproken in onze speciale blog over AKS-beleidsregels, maakt ook gebruik van OPA. 

Gatekeeper integreert met de Kubernetes API-server als een admission controller. Voordat een resource (zoals een pod of service) wordt aangemaakt of gewijzigd, checkt Gatekeeper of deze voldoet aan de actieve policies. 

Goed om te weten: die policies moet je schrijven in Rego, een specifieke taal. Dat kan, afhankelijk van het individu, een lichte of steile leercurve vormen, maar je kan er wel heel gedetailleerde regels mee definiëren over hoe resources eruit moeten zien. Voldoet een resource niet aan een van je policies? Dan weigert de API-server het request. 

Wat voor soort regels kun je hiermee allemaal instellen? Denk bijvoorbeeld aan: 

  • Het verbieden van containers die als root willen draaien (securityContext.runAsNonRoot: true verplichten). 
  • Het verplicht stellen van requests en limits voor CPU en geheugen op alle pods, zodat je niet ineens alle resources verbruikt. 
  • Het enkel toelaten van container images die uit een specifieke, vertrouwde lijst van registries komen (zoals je eigen ACR). 
  • Het afdwingen van specifieke labels of annotaties op resources voor governance of kostenallocatie. 

OPA en Gatekeeper zijn dus extreem krachtig en geven je veel controle over wat er op je cluster mag draaien. Maar er is ook een keerzijde: het opzetten en onderhouden van policies (en het leren van Rego) vraagt tijd. Het is echter een onmisbare laag om de consistentie en veiligheid van je cluster actief te garanderen. 

Fase 3: Blijven kijken tijdens het draaien (runtime monitoring & feedback) 

Je hebt je code en images gescand, en je policies waken over wat er op de cluster mag komen. Klaar? Nog niet helemaal. Security staat nooit stil. Daarom is een derde, continue fase onmisbaar: runtime monitoring. 

Waarom? Er worden constant nieuwe CVEs ontdekt, ook in recent gescande software. Een image die vandaag veilig is, kan morgen een kritiek lek bevatten. Runtime scanning helpt je die nieuwe risico’s in draaiende containers te identificeren. Trivy kan bijvoorbeeld in ‘cluster mode’ periodiek je actieve workloads scannen. 

Ten tweede vinden hackers ook constant nieuwe exploits. Je moet dus niet alleen kijken naar bekende CVEs, maar ook naar het gedrag van je applicaties en de cluster zelf met threat detection en anomaly detection. Microsoft Defender for Containers monitort bijvoorbeeld clusteractiviteiten en waarschuwt bij verdacht gedrag, zoals onverwachte netwerkverbindingen tussen pods, het starten van vreemde processen, of pogingen om privileges te escaleren. 

Minstens zo belangrijk als de detectie zelf, is de feedback loop. Signaleert runtime monitoring een probleem? Dan moet die info terug naar de dev- en platformteams. Zo kunnen zij de oorzaak analyseren, de code of configuratie aanpassen (terug naar fase 1), en een verbeterde versie uitrollen. 

Zonder die feedback loop blijven dezelfde problemen mogelijk onopgemerkt terugkomen. Runtime monitoring is dus niet alleen reactief. Het geeft je ook de informatie die je nodig hebt om te blijven verbeteren. 

Security doe je samen (én constant) 

Een effectieve DevSecOps pipeline voor AKS is dus geen checklist, maar een continue cyclus. Door vooraf te scannen, policies af te dwingen bij deployment, en continu te monitoren tijdens runtime, bouw je verschillende lagen in je security.  

Wat je leert uit monitoring moet ook leiden tot aanpassingen in de code en configuratie. Daarvoor heb je (naast een reeks slimme tools) vooral samenwerking nodig tussen developers, securityspecialisten, en operations. Het resultaat zal voor zich spreken: minder risico’s, meer controle en meer vertrouwen. 

Klaar om jouw AKS pipeline te beveiligen? Neem vandaag nog contact op, we helpen je graag met het opzetten van de juiste DevSecOps-aanpak.

Smokescreen