Architect

Opdrachtomschrijving
Prestatie-opdracht voor zelfstandig opleveren van gap-analyse tussen huidige GitOps werkwijze van het Logius Private Cloud platform (LPC) en de vigerende en relevante wet- en regelgeving; advies uitbrengen om de geconstateerde delta op te lossen en GitOps voor LPC compliant te maken. Zie het kopje deelresultaten - deliverables voor de specifiek op te leveren deelproducten. Aanbieder stelt een gap-analyse op tussen de huidige GitOps werkwijze en relevante wet- en regelgeving, stelt maatregelen voor om de geconstateerde delta op te lossen en vat deze samen in een actieplan voor implementatie van de maatregelen. Deze opdracht ziet erop toe om advies te geven en een actieplan op te leveren voor implementatie van de maatregelen voor LPC om toe te kunnen werken naar een situatie waar continuous compliance het uitgangspunt is. Criteria voor de deliverables adviesrapport en implementatieplan

• Moeten aansluiten bij capabilities die in de ART & bij het LPC platform aanwezig zijn;

• Moeten passen binnen architectuur ontwerp LPC;

• Moeten voorzien in informatiebehoefte van de LPC architecten; Deelresultaten - deliverables Analyse en advies rapport van de bestaande GitLab inrichting en beveiliging van de voortbrengingsketen met voorstel voor maatregelen en advies voor verbeterpunten op basis van geconstateerde delta. Met daarin opgenomen (deel opleveringen):

• Ontwerp GitLab inrichting voor refactor van configuratie, pipelines, en aanbrengen van SecOps tooling.

• Ontwerp van een standaard inrichting en opbouw van componenten die samen het platform vormen, uitgaande van de bestaande situatie (geen greenfield).

• Ontwerp standaard component voor geautomatiseerd testen, patchen en promoten.

• Ontwerp voor het (geautomatiseerd) toepassen van beveiligingsmaatregelen, zoals SAST, DAST, (runtime) vulnerability scanning, threat detection, etc.

• Ontwerp security architectuur Gitlab, waaronder secret management voor secrets beleid op basis van een externe kluis. Uitgaande van stricte toepassing van normen.

• Continuous compliance dashboard voor informatievoorziening continuous compliance. Kennisoverdracht en documentatie aan het team om zelfstandig de implementatie en het onderhoud van de maatregelen te kunnen voortzetten. Eindresultaat Na analyse een gefundeerd advies (obv de opgeleverde deelresultaten) aan trojka zodat besluitvorming op basis van bovenstaande producten plaats kan vinden. Daarnaast kennisoverdracht naar andere architecten en dev-ops engineers om zichzelf na afronding opdracht overbodig te maken.

Achtergrond opdracht

Bij LPC wordt van meet af aan gebruik gemaakt van een GitOps werkwijze. Het gebruik van GitLab en tools als Flux en ArgoCD staan hierbij centraal. Alle configuratie wordt as-code beheerd. Het container platform moet voldoen aan verschillende eisen die worden gesteld aan inrichting, beveiliging en werkwijzen, zoals benoemd in de ISO 27001/2, BIO 2, de Cyberbeveiligingswet, NIST2 en de AVG. Hiervoor worden regelmatig audits uitgevoerd. In de loop der tijd heeft het platform verschillende ontwikkelingen ondergaan waardoor de consistentie in de GitOps workflow tussen componenten en teams uit elkaar loopt. Hierdoor kost het meer tijd en moeite om te voldoen aan de steeds strengere normen. Compliancy moet het eenvoudiger maken om aan te tonen dat aan alle wet en regelgeving

Competenties
Scope opdracht 

GitOps werkwijze en security aspecten LPC dienen te worden meegenomen; 

Buiten scope 

Werkwijze en security aspecten van andere platformen of van voorzieningen die gebruik maken van LPC.