Onderzoek: applicatiebeheer gaat over risico’s beheren en innovaties automatiseren

De opmars van applicaties in zowel zakelijke context als bij consumenten vindt nu enkele jaren plaats. Tijd om de stand van zaken op te maken, en te evalueren hoe deze applicaties worden beheerd, onderhouden en beveiligd. Onlangs bracht F5 Networks het ‘State of Application Delivery Report’ uit, een jaarlijks onderzoek waarin deze thema’s onderzocht worden. Naast een statusbepaling kijkt het rapport ook naar gerelateerde trends in de markt.

De conclusies zijn op te delen in twee categorieën. Enerzijds wordt het huidige applicatiebeheer gekenmerkt door risicomanagement. Anderzijds wordt het applicatielandschap zo ingericht dat innovatie middels automatisering plaatsvindt. De trends lopen meer uiteen. Daarover later meer; we richten ons eerst op de huidige staat van applicatiebeheer.

Risico’s beheren

Risicomanagement is nog altijd een relatief breed begrip bij applicatiebeheer. Er zijn namelijk uiteenlopende soorten risico’s. Ten eerste zijn er risico’s die samenhangen met de beschikbaarheid van de applicatie. Wat als een applicatie niet werkt, niet goed beschikbaar is of andere storingen vertoont? Welke gevolgen heeft dat op de bedrijfscontinuïteit, op de verschillende bedrijfsactiviteiten en op de gehele business, de bedrijfsvoering? Beschikbaarheid mag zelden een issue zijn, hoewel er verschillende prioriteiten kunnen zijn.

Ten tweede heeft risicomanagement te maken met de veiligheid van de geboden dienstverlening. Hierbij denken we met name aan de gevaren die het internet met zich meebrengt en hoe de applicatie daartegen beschermd wordt.

Organisaties kennen allerlei soorten applicaties. Meestal staan ze in dienst van de business. Veel van deze applicaties worden echter niet goed onderhouden qua beveiliging. Allerlei gaten in de beveiliging biedt kwaadwillenden vrij spel. Het is dan ook aan te raden applicaties te kwalificeren op basis van de waarde die ze vertegenwoordigen voor de bedrijfsvoering. Vervolgens moeten de beveiligingsmaatregelen daarop worden afgestemd. Een applicatie die van cruciaal belang is voor de business maar al jarenlang niet meer onderhouden is of kan worden, dient toch veilig te worden aangeboden. Dit lijkt iets wat niet vaak voorkomt, maar zien we bijna nog dagelijks in de praktijk gebeuren. Het zijn de zorgenkindjes van security managers en netwerkbeheerders. Deze risico’s moeten inzichtelijk worden gemaakt en moeten worden afgedekt door bijvoorbeeld maatregelen als een Web Application Firewall (WAF). Dit is nodig om toch aan compliancy en audits te voldoen.

Geautomatiseerde innovatie

Een tweede grote conclusie uit het rapport over de huidige staat van de applicatielevering is geautomatiseerde innovatie. Hierbij gaat het vooral over het hebben van flexibiliteit binnen de applicatie en het beïnvloeden van het gedrag en configuratie. Dit gebeurt vaak middels Application Programming Interface, beter bekend als API’s. Dankzij deze techniek vindt aansturing van de applicatie plaats.

Dit hangt nauw samen met Software Defined Networking, SDN, uiteraard een trend die ook in het rapport terugkomt. SDN biedt de mogelijkheid om flexibel om te gaan met het netwerk en de diensten op dat netwerk. Het is erg belangrijk dat netwerkinitiatieven als SDN de applicaties goed kunnen bedienen. Hiervoor moet orkestratie plaatsvinden op hogere OSI-niveaus of lagen, daar waar de applicaties zich bevinden.

Trends

De IT-business is dynamisch en de business eist innovatie. Toekomstvisie is ook van belang, maar vijf jaar (of meer) vooruitkijken is nauwelijks te doen. Trends bepalen is dus lastig en discutabel, maar het rapport noemt wel enkele ontwikkelingen in de markt die bepalend zijn voor de omgang van applicaties.

Momenteel is de sterkste ontwikkeling die van de Private Cloud-bewegingen waarbij data wordt verplaatst naar omgevingen buiten het eigen datacenter. Deze ontwikkeling wordt op de voet gevolgd door de trend om applicaties mobiel te maken en ook naar buiten te brengen. Hierbij kiest de een voor een Software as a Service benadering, terwijl een ander liever gaat voor Infrastructure as a Service. Als we de lijst met trends verder bekijken, komen we meer bekende ontwikkelingen tegen zoals het introduceren van een Virtual Desktop (VDI), het al eerder genoemde Software Defined Networking (SDN) en Big Data. Weinig nieuws onder de zon natuurlijk; de grote ontwikkeling hierin lijkt vooral te zijn dat massa een belangrijke rol gaat spelen. De toepassingen krijgen serieuze omvang, zowel in gebruik als in aantal gebruikers.

Beveiligingtrends

Bovenstaande trends gaan over de inrichting van het applicatielandschap en het aanbieden van de applicatie. Op het gebied van security zijn er de nodige ontwikkelingen die de applicatielevering beïnvloeden. Er is meer aandacht voor de bescherming van browsers, applicaties en de data die verstuurd wordt zoals creditcardgegevens. Deze laatste vallen uiteraard vaak samen met beveiligingsprotocollen als SSL en TLS. Deze protocollen zijn de laatste tijd veelvuldig negatief in het nieuws geweest, waardoor hun betrouwbaarheid (nog meer) in twijfel wordt getrokken. Verschillende kwetsbaarheden in het protocol zijn in hoog tempo naar buiten gekomen. De meeste gebruikers zijn nog niet klaar met het doorvoeren van een vorige patchronde als de volgende zich al weer aandient.

We zien dan ook een verschuiving: Steeds meer gebruikers kiezen er voor om SSL/TLS-afhandeling niet meer te doen op de servers zelf, maar op de apparatuur die daarvoor staat, zoals een Application Delivery Controller of Load Balancer. Op deze manier is het mogelijk om patching voor vele systemen terug te brengen tot de apparatuur welke ze ontsluit alsmede een zware taak van de server over te nemen.

Daarnaast wordt er steeds meer aandacht gevestigd op de bescherming van applicatie zelf. Over het algemeen was beveiliging niet een belangrijk element tijdens het ontwikkelen van de toepassing. Of ze worden niet meer onderhouden met allerlei open deuren tot gevolg. Op die manier krijgen kwaadwillenden middels SQL injection, XSS scripting (cross side scripting) en andere bedreigingen toegang tot de applicatie of toegang tot veel grotere delen van het netwerk. Steeds meer bedrijven zijn zich ervan bewust dat hier een grote verantwoording ligt, zeker als deze applicaties of databases gevuld zijn met klantinformatie zoals personalia en/of creditcardgegevens of andere gevoelige data.

Dennis de Leest is Sr. Systems Engineer bij F5