Beveiligingsstrategie voor ontwikkeling
Ontwikkelingsbeveiliging is een breed technisch gebied met meerdere afzonderlijke elementen. Best practices weerspiegelen dat feit.
Voor ontwikkelingsbeveiliging moet u de toepassing of code zelf en de onderliggende infrastructuur, het platform of het apparaat beschermen.
Geïntegreerde beveiligingsprocedures
Voor het beveiligen van de code zijn geïntegreerde beveiligingsprocedures in het ontwikkelingsproces vereist. Deze aanpak vermindert beveiligingsrisico's in zowel het ontwerp als de implementatie van de code die wordt ontwikkeld.
Ontwikkeling kan vele vormen aannemen, waaronder:
- Toepassingscode die moet worden uitgevoerd op een server als een toepassing of API.
- Een API publiceren.
- Scripting.
- Automatisering, zoals deze voorbeelden:
- Infrastructuurimplementatie, bijvoorbeeld het automatiseren van een Terraform-implementatie.
- Infrastructuurconfiguratie, zoals het gebruik van een Azure Resource Manager-sjabloon of Bicep om een Azure-netwerkbeveiligingsgroep te implementeren en beveiligingsgroepsregels te maken.
- Operationele taken, zoals het gebruik van Azure Functions om geplande taken uit te voeren door code uit te voeren op vooraf gedefinieerde intervallen.
- Code die moet worden geïmplementeerd in firmware.
- Mobiele apps, een aggregatie van code op toepassingsniveau met platformservices, geïmplementeerd als een systeem.
- Volledige systemen, waaronder infrastructuuronderdelen, besturingssystemen, PaaS-services en code, die zijn samengevoegd tot een uitvoerbare blauwdruk die als infrastructuur als code (IaC) is geïmplementeerd in Azure.
Naast de breedte van wat als ontwikkeling kan worden beschouwd, hebben de ontwikkelingen in processen en technologieën een snellere productietijd mogelijk gemaakt, waaronder snellere CI/CD-pijplijnen (Continuous Integration/Continuous Development), DevOps en DevSecOps.
Deze ontwikkelingen vereisen dat organisaties een stap teruggaan en evalueren. Ze moeten bepalen welke processen en technologieën de ontwikkelingsflexibiliteit en -snelheid bieden om op een veilige en compatibele manier aan de bedrijfsbehoeften te voldoen.
Vanaf het begin moet een goede ontwikkelingsstrategie rekening houden met uw bedrijfs- en beveiligingsbehoeften en het ontwikkelaarsecosysteem van uw organisatie. Het doel is om beveiliging in te bouwen in ontwikkelprocessen. Het beveiligingsteam moet meer een enabler dan een blokkering of belemmering zijn om de productie te bereiken.
Een ander onderdeel van een succesvolle beveiligingsstrategie voor ontwikkeling is om de ontwikkelaars te ontmoeten waar ze zich bevinden en zo klein en probleemloos mogelijk wijzigingen aan te brengen in hun werk. Kleine stappen en automatisering zijn het beste. Laat de ontwikkelmedewerkers zien hoe het opnemen van beveiliging in ontwikkelprocessen kan versnellen en wrijving kan wegwerken.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor