5.7.2. Minimale maatregelen voor DevOps

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

PLAN

• Training en bewustwording

  • Elk teamlid dient minstens eenmalig een training te volgen in DevOps beveiligingspraktijken.

  • Implementeer een proces voor continu leren en verbeteren (continuous improvement).

• Beveiligingsbeleid en richtlijnen

  • Integreer “secure by design” en “privacy by design” vanaf het de ontwerpfase van de elke toepassing.

  • Evalueer de beveiligingsmaatregelen van derde partijen en leveranciers.

• Risicobeheer

  • Implementeer een proces voor regelmatige risicoanalyses en evaluaties waarbij de outputs uit de Operate-fase de input vormen voor risicobeheer. Consulteer ook de Minimale Maatregelen rond Risicobeheer.

CODE

• Veilige codeerstandaarden en ontwikkelomgeving

  • Gebruik beveiligingsgerichte ontwikkelingsframeworks en bibliotheken.

  • Gebruik veilige coderingspraktijken, zoals omschreven in de Minimale Maatregelen voor ontwikkeling en gebruik van toepassingen.

  • Gebruik security best practices voor IDE's en development omgevingen.

• Beveiliging van repositories

  • Beheer repositories in een geautoriseerde versiebeheer-oplossing die gecontroleerd wordt.

  • Verleen enkel toegang tot accounts beheerd door de organisatie zoals beschreven in de Minimale Maatregelen voor Identity en access management (IAM) en de Minimale maatregelen voor Privileged Access Management (PAM).

  • Implementeer toegang tot broncode-repositories volgens het principe van least privilege.

• Code review

  • Code moet door minstens één goedkeurder of reviewer (die niet de auteur is van de code) worden beoordeeld alvorens definitief te worden opgenomen in de codebase.

• Scheiding van omgevingen

  • Ontwikkelingswerkzaamheden dienen enkel worden uitgevoerd in de ontwikkelingsomgeving. Noodwijzigingen kunnen uitgevoerd worden in de acceptatie- of productieomgevingen: consulteer hiervoor de Minimale maatregelen Wijzigingsbeheer

• Secrets management

  • Zorg ervoor dat gevoelige informatie veilig wordt opgeslagen op een geschikte locatie. Consulteer hiervoor de Minimale maatregelen Cryptografie.

• Secret scanning

  • Implementeer secret scanning om te voorkomen dat gevoelige gegevens worden blootgesteld.

BUILD

• Software Bill of Materials (SBOM) en dependency management

  • Integreer SBOM: een Software Bill of Materials is een gestructureerd, vaak automatisch gegenereerd,  overzicht van alle componenten en afhankelijkheden van een softwaretraject-generatie in CI/CD.

  • Doe aan dependency scanning en tracking op basis van de SBOM-input risico’s.

• Static Application Security Testing (SAST)

  • Integreer SAST in de CI/CD-pipeline.

  • Configureer de scanconfiguraties zodat deze zijn afgestemd op het project.

  • Automatiseer het proces voor het toevoegen van een issue aan een issue tracker.

• Code signing en verificatie

  • Implementeer code signing om de integriteit en authenticiteit van de code te verifiëren.

  • Stel beleidsregels op voor toegangscontrole van encryptiesleutels.

TEST

• Penetration testing

  • Laat white/grey box penetration tests uitvoeren op de ontwikkelde applicatie, consulteer hiervoor de Minimale maatregelen Veiligheidstesten.

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 + Klasse 2 +

TEST

• Penetration testing

  • Laat white/grey box penetration tests uitvoeren zoals beschreven in de Minimale maatregelen Veiligheidstesten.

• Dynamic Application Security Testing (DAST)

  • Integreer Dynamic Application Security Testing (DAST)-tools in het CI/CD-proces.

  • Definieer testscenario's om alle functionaliteiten van de applicatie te dekken, inclusief randgevallen en potentiële kwetsbaarheden.

  • Implementeer een proces om de resultaten van DAST-scans te prioriteren en te classificeren op basis van de ernst van de kwetsbaarheden.

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

TEST

• Penetration testing

  • Laat black/grey/white box penetration tests uitvoeren zoals beschreven in de Minimale maatregelen Veiligheidstesten.

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

RELEASE

• CI/CD Pipelines

  • Gebruik beveiligde configuratiebeheer-oplossingen om (semi)geautomatiseerd releases uit te voeren.

• Role Based Access Contol (RBAC)

  • Implementeer RBAC (Role-Based Access Control) om toegang tot productieomgevingen en gevoelige bronnen te beperken.

• Rollback procedures

  • Implementeer rollback-mechanismen en documenteer deze, en automatiseer deze waar mogelijk.

DEPLOY

• Infrastructure as Code (IaC)

  • Gebruik IaC tools om infrastructuur op te zetten en te beheren.

  • Zorg ervoor dat IaC-configuratiebestanden veilig opgeslagen worden en de toegang hiertoe zoveel mogelijk wordt beperkt. Consulteer hiervoor de Minimale maatregelen Cryptografische maatregelen en de Minimale maatregelen Asset en configuratie beheer.

  • Definieer standaard IaC-configuraties en templates voor resources.

OPERATE

• Patch en vulnerability management

  • Implementeer een proactief beveiligingspatch-beheerproces.

  • Automatiseer patch management taken.

  • Voer wekelijks automatische kwetsbaarheidsscans uit. Consulteer hiervoor de Minimale maatregelen ICT-systemen.

• Gepriviligeerd Toegangsbeheer

  • Beperk geprivilegieerde toegang tot de productieomgeving zodat alleen geautoriseerde personen toegang hebben. Consulteer hiervoor de Minimale maatregelen Privileged Access Management (PAM).

  • Implementeer Just-in-Time (JIT) access waar technisch mogelijk op productieomgevingen om beveiligingsrisico's te minimaliseren.

• Back-up en Disaster Recovery

  • Implementeer back-up- en disaster recovery (DR)-oplossingen om gegevensverlies te minimaliseren en bedrijfscontinuïteit te waarborgen.

  • Test minstens jaarlijks back-up- en disaster recovery-procedures om hun effectiviteit en betrouwbaarheid te verifiëren.

• Continuous Improvement (Continue verbetering)

  • Implementeer een proces voor Continuous Improvement.

• Sleutelbeheer

  • Consulteer de Minimale Maatregelen rond Sleutelbeheer voor het veilig beheren van encryptiesleutels op cloudomgevingen.

  • Zorg ervoor dat er steeds een soft delete-functie geactiveerd is wanneer sleutels verwijderd worden.

MONITOR

• Voortdurend monitoren

  • Implementeer continue monitoring voor applicaties en infrastructuur.

  • Implementeer health checks om problemen vroegtijdig op te sporen.

  • Implementeer processen rond Security Information and Event Management (SIEM) tools conform de Minimale Maatregelen Veiligheidslogging en monitoring (SIEM).

• Incident response

  • Ontwikkel en onderhoud een Incident Response Plan (IRP).

Klasse 3 en Klasse 4 kennen dezelfde maatregelen

Alle maatregelen van Klasse 1 / Klasse 2 +

OPERATE

• Scheiding van omgevingen

  • Gegevens in de productieomgeving mogen enkel hergebruikt worden in niet-productieomgevingen wanneer deze omgevingen op dezelfde manier beveiligd zijn als de productieomgeving, of wanneer data-anonimisering is toegepast. Zie ook de Minimale Maatregelen rond Release en deployment beheer.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

OPERATE

• Scheiding van omgevingen

  • Gegevens in de productieomgeving mogen niet hergebruikt worden in de test- of ontwikkelingsomgeving, zie ook de Minimale Maatregelen rond Release en deployment beheer.