Delen via


Beveiligingsstrategie voor ontwikkeling

Ontwikkelingsbeveiliging is een breed technisch gebied met meerdere afzonderlijke elementen. Best practices weerspiegelen dat feit.

Voor de beveiliging van de ontwikkeling moet u de toepassing of code zelf beveiligen en de onderliggende infrastructuur, het platform of het apparaat.

Diagram toont de mogelijkheden van aanvallers, met inbegrip van IT-infrastructuuraanvallen.

Geïntegreerde beveiligingsprocedures

Voor het beveiligen van de code zijn geïntegreerde beveiligingsprocedures vereist in het ontwikkelingsproces. Deze aanpak vermindert beveiligingsrisico's in zowel het ontwerp als de implementatie van de code die wordt ontwikkeld.

Ontwikkeling kan vele vormen aannemen, waaronder:

  • Toepassingscode die moet worden uitgevoerd op een server als een toepassing of API.
  • Een API publiceren.
  • Scripting.
  • Automatisering, zoals deze voorbeelden:
    • Infrastructuurimplementatie automatiseert bijvoorbeeld een Terraform-implementatie.
    • Infrastructuurconfiguratie, zoals het gebruik van een Azure Resource Manager-sjabloon of Bicep voor het implementeren van een Azure-netwerkbeveiligingsgroep en het maken van beveiligingsgroepsregels.
    • Operationele taken, zoals het gebruik van Azure Functions om geplande taken uit te voeren door code uit te voeren op vooraf gedefinieerde tijdsintervallen.
  • Code die moet worden geïmplementeerd op firmware.
  • Mobiele apps, een aggregatie van code op toepassingsniveau met platformservices, geïmplementeerd als een systeem.
  • Volledige systemen, waaronder infrastructuuronderdelen, besturingssystemen, PaaS-oplossingen (Platform as a Service) en code, die u kunt implementeren met behulp van infrastructuur als code (IaC).

Naast de breedte van wat als ontwikkeling kan worden beschouwd, hebben de ontwikkelingen in processen en technologieën versnelde tijd tot productie mogelijk gemaakt, waaronder snellere CI/CD-pijplijnen (Continuous Integration/Continuous Development), DevOps en DevSecOps.

Voor deze ontwikkelingen moeten organisaties terugstappen en evalueren. Ze moeten bepalen welke processen en technologieën de ontwikkelingsflexibiliteit en snelheid bieden om op een veilige en compatibele manier aan de bedrijfsvereisten te voldoen.

Vanaf het begin moet een goede ontwikkelingsstrategie rekening houden met uw bedrijfs- en beveiligingsbehoeften en het ecosysteem van ontwikkelaars van uw organisatie. Het doel is om beveiliging ingebouwd te hebben in ontwikkelprocessen. Het beveiligingsteam moet meer van een enabler zijn dan een obstakel of belemmering om productie te bereiken.

Een ander onderdeel van een succesvolle beveiligingsstrategie voor ontwikkeling is om te voldoen aan de ontwikkelaars waar ze zich bevinden en proberen wijzigingen aan te brengen in hun werk zo klein en probleemloos mogelijk. Kleine stappen en automatisering zijn het beste. Laat het ontwikkelpersoneel zien hoe beveiliging die is opgenomen in ontwikkelingsprocessen, de wrijving van hun inspanningen kan versnellen en verwijderen.

Volgende stap