Toepassingsbeveiliging en DevSecOps-functies

Het doel van toepassingsbeveiliging en DevSecOps is het integreren van beveiligingsgaranties in ontwikkelingsprocessen en aangepaste LOB-toepassingen (Line-Of-Business).

Modernisering

De ontwikkeling van toepassingen wordt snel aangepast in meerdere aspecten tegelijk, waaronder het DevOps-teammodel, de snelle releasefrequentie van DevOps en de technische samenstelling van toepassingen via cloudservices en API's. Bekijk hoe de cloud beveiligingsrelaties en -verantwoordelijkheden wijzigt om inzicht te hebben in deze wijzigingen.

Deze modernisering van verouderde ontwikkelingsmodellen biedt zowel kansen als een vereiste om de beveiliging van toepassingen en ontwikkelingsprocessen te moderniseren. De samenvoeging van beveiliging in DevOps-processen wordt vaak aangeduid als DevSecOps en leidt tot wijzigingen, waaronder:

• Beveiliging is geïntegreerd, niet buiten goedkeuring: Het snelle tempo van de verandering in de ontwikkeling van toepassingen maakt klassieke 'scan- en rapport'-benaderingen verouderd. Deze verouderde benaderingen kunnen releases niet bijhouden zonder de ontwikkeling tot stilstand te brengen en time-to-market-vertragingen, onderbenutting van ontwikkelaars en groei van de achterstand van problemen te creëren.
  • Verschuif naar links om de beveiliging eerder in te zetten bij het ontwikkelen van toepassingen, omdat het eerder oplossen van problemen goedkoper, sneller en effectiever is. Als u wacht totdat de cake is gebakken, is het moeilijker om de vorm te wijzigen.
  • Systeemeigen integratie: Beveiligingsprocedures moeten naadloos worden geïntegreerd om beschadigde frictie in ontwikkelingswerkstromen en CI/CD-processen (continue integratie/continue implementatie) te voorkomen. Zie Software samen beveiligen voor meer informatie over de GitHub-benadering.
  • Hoogwaardige beveiliging: Beveiliging moet hoogwaardige bevindingen en richtlijnen bieden die ontwikkelaars in staat stellen om problemen snel op te lossen en geen tijd te verspillen aan ontwikkelaars met fout-positieven.
  • Geconvergeerde cultuur: Beveiligings-, ontwikkelings- en operationele rollen moeten belangrijke elementen bijdragen aan een gedeelde cultuur, gedeelde waarden en gedeelde doelen en verantwoordelijkheden.
• Flexibele beveiliging: Verschuif de beveiliging van een 'moet perfect zijn voor verzending'-benadering naar een flexibele benadering die begint met minimale levensvatbare beveiliging voor toepassingen (en voor de processen om ze te ontwikkelen) die continu incrementeel wordt verbeterd.
• Gebruik cloudeigen infrastructuur- en beveiligingsfuncties om ontwikkelingsprocessen te stroomlijnen en beveiliging te integreren.
• Risicobeheer van de toeleveringsketen: Gebruik een zero-trust-benadering voor opensource-software (OSS) en onderdelen van derden die hun integriteit valideren en ervoor zorgen dat bugfixes en updates worden toegepast op deze onderdelen.
• Continu leren: Het snelle releasetempo van ontwikkelaarsservices, ook wel PaaS-services (Platform as a Service) genoemd, en de veranderende samenstelling van toepassingen betekent dat ontwikkelaars, ops en beveiligingsteamleden voortdurend nieuwe technologie zullen leren.
• Programmatische benadering van toepassingsbeveiliging om ervoor te zorgen dat de Agile-benadering continu wordt verbeterd.

Zie Microsoft Secure Development Lifecycle (Microsoft Secure Development Lifecycle) voor aanvullende context.

Teamsamenstelling en sleutelrelaties

Toepassingsbeveiliging en DevSecOps-functies worden idealiter uitgevoerd door beveiligingsbewuste ontwikkelaars en operationele teams (met de ondersteuning van beveiligingsexperts).

Deze functie communiceert vaak met andere functies en experts, waaronder:

• Beveiligingsarchitectuur en -bewerkingen
• Beveiligingsinfrastructuur
• Communicatie (training en hulpprogramma's)
• Persoonsbeveiliging
• Identiteit en sleutels
• Teams voor nalevings-/risicobeheer
• Belangrijke bedrijfsleiders of hun vertegenwoordigers

Volgende stappen

Controleer de functie van gegevensbeveiliging.