Beveiliging van ontwikkelingsinnovatie
In dit artikel wordt beschreven hoe u innovatiesnelheid en verantwoordelijkheid in uw organisatie in balans kunt brengen binnen de context van ontwikkelingsbeveiliging.
Innovatie en verantwoordelijkheid in balans brengen
De ondernemingsrisicobereidheid van elke organisatie is variabel. Om dit te berekenen, moet u voortdurend een balans vinden tussen het innovatieniveau dat uw organisatie nastreeft en de verantwoordelijkheid die uw organisatie haar klanten, aandeelhouders en toezichthouders verschuldigd is.
Sommige organisaties leggen de nadruk op snelle innovatie om concurrerend te blijven. Anderen zijn intolerant voor merkschade - zelfs van een anderszins kleine testtoepassing die zou kunnen worden aangetast.
Zorg dat de beveiliging en snelheid van innovatie van uw organisatie in balans zijn. U kunt het door beleid gestuurde governanceontwerp voor azure-landingszones gebruiken, dat kaders biedt voor het platform van uw organisatie (en toepassingen die erop zijn geïmplementeerd). Zie Adopt policy-driven rails in your resource organization (Beleidgestuurde rails gebruiken in uw resourceorganisatie) voor meer informatie.
Meer informatie over de hiërarchie van beheergroepen en abonnementen en het maken van sandbox-beheergroepen op het hoogste niveau.
Incrementele en continue verbeteringen
Betrek alle belanghebbenden bij uw inspanningen om het streven naar innovatie in balans te brengen met de ontwikkelingslevenscyclus van continue verbetering. Het proces iteratief verbeteren voor alle aspecten van innovatie (zoals snelheid of beveiliging).
Definieer een succesvol en duurzaam minimaal levensvatbaar product (MVP) voor innovatie voor uw organisatie. Het moet voldoen aan minimale kritieke kenmerken in DevSecOps-domeinen:
- Ontwikkeling: Moet voldoen aan bedrijfsvereisten voor markt- en klantrelevantie en reactievermogen op veranderende behoeften.
- Veiligheid: Moet de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid garanderen.
- Operaties: Moet voldoen aan de normen voor kwaliteit, prestaties en betrouwbaarheid.
Gebruik Shift Left-testen als een natuurlijk onderdeel van uw technische ideeën en ontwikkeling. Integreer beveiliging vroeg in het proces. Problemen in een vroeg stadium oplossen is goedkoper en efficiënter dan het oplossen ervan nadat u ze in productiesystemen hebt gevonden (vaak terwijl een aanvaller een workload misbruikt en bedrijfsschade veroorzaakt).
Wijzig bestaande DevOps-processen zodat u beveiliging en innovatie in ontwikkelprocedures kunt implementeren. Deze wijziging kan betrekking hebben op het toevoegen van nieuwe elementen die op een natuurlijke manier in een proces passen.
Verfijn deze incrementele procedures om gezonde wrijving tussen teamleden te genereren. De frictie kan leiden tot belangrijke bugs om op te lossen en kan leiden tot waardevolle kritische denkwijze (zoals bedreigingsmodellering waarmee u inzicht krijgt in de 'gebruikerspersoon' van een aanvaller). Het genereren van gezonde wrijving tussen teamleden helpt u ook om beschadigde wrijving, verspilde inspanning en antipatronen te voorkomen.
Systeemeigen innovatie-efficiëntie
Integreer systeemeigen beveiliging, identiteit, nalevingsstandaarden en andere efficiëntie in uw ontwikkelingsproces om onzichtbare kaders te creëren waarmee wordt voorkomen dat de innovatie van ontwikkelaars wordt vertraagd. Informeer al uw teams over innovatie-efficiëntie en betrek alle teams bij het aanpakken ervan.
Blijf flexibel door continue assemblage van innovatie. Pas beveiligingselementen aan en pas benaderingen aan elk afzonderlijk ontwikkelaarsteam en hun huidige fase van procesrijpheid/structuur aan.
Beveiliging integreren in het ontwikkelingsproces
DevOps verhoogt de flexibiliteit en snelheid door de plannings- en ontwikkelingsprocessen en de test- en productieprocessen bij elkaar te brengen. DevOps vermindert bedrijfsrisico's door snelle updates uit te voeren in plaats van een grondige scan vóór de release. De rol van beveiliging verschuift van traditionele kwaliteitsgateway naar integraal proces naar het verlagen van risico's (gezien als incrementele toenames van de kennis en opleiding van een team, procesupdates en meer).
Verschuif uw organisatie van een waterval-ontwikkelingscyclus naar een DevOps-levenscyclus om snelle incrementele releases voor toepassingen mogelijk te maken. Met het DevOps-model kunt u snel beveiligingsproblemen oplossen en de langere plannings- en testcyclus van het watervalmodel vermijden. DevOps biedt ook veel niet-beveiligingsvoordelen die een betere reactietijd voor klanten en interne gebruikersvereisten mogelijk maken in een snel veranderende marketplace.
Shift naar links
Werk voortdurend aan het verbeteren van de beveiliging in uw DevOps-processen met behulp van een Shift-left-benadering. In deze security engineering-benadering integreert u beveiliging eerder in de OSA-processen (Development Lifecycle and Operations). U kunt beveiligingsproblemen gemakkelijker en met veel minder kosten ondervangen dan wanneer ze later in de ontwikkeling niet zijn opgelost.
Neem governance-, risico- en nalevingsoverwegingen op in uw strategie, zodat u ervoor zorgt dat de beveiliging en de Shift-left-benadering in de loop van de tijd behouden blijven.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor