BIO 14.01 ISO A.14.2.1

Secure Development Lifecycle Voor Azure Applicaties

📅 2025-01-15
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Secure Development Lifecycle (SDL) vormt de fundamentele methodologie voor het ontwikkelen van veilige Azure-applicaties door beveiliging te integreren in alle fasen van de applicatieontwikkelingscyclus, van requirements en design tot deployment en onderhoud. Deze methodologie zorgt ervoor dat beveiliging wordt ingebouwd in plaats van achteraf toegevoegd, waardoor de totale beveiligingspostuur wordt verbeterd en compliance-risico's worden geminimaliseerd.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
80u (tech: 40u)
Van toepassing op:
Azure App Service
Azure Functions
Azure Container Apps
Azure Kubernetes Service
Azure Virtual Machines
Azure DevOps
GitHub Actions

Applicaties die worden ontwikkeld zonder een gestructureerd Secure Development Lifecycle proces zijn inherent kwetsbaar voor beveiligingsrisico's omdat beveiliging wordt behandeld als een afterthought in plaats van een fundamenteel onderdeel van het ontwikkelingsproces. Wanneer beveiliging pas wordt toegevoegd na de ontwikkeling, zijn applicaties vaak al gebouwd met fundamentele beveiligingskwetsbaarheden zoals onveilige authenticatie, onvoldoende inputvalidatie, onveilige data-opslag, en onbeveiligde API-communicatie. Deze kwetsbaarheden kunnen worden geëxploiteerd door aanvallers om ongeautoriseerde toegang te krijgen tot applicaties, gevoelige gegevens te stelen, of applicaties te compromitteren voor verdere aanvallen. Voor Nederlandse overheidsorganisaties die kritieke diensten leveren aan burgers en bedrijven, kunnen dergelijke kwetsbaarheden leiden tot datalekken, service-onderbrekingen, en aanzienlijke reputatieschade. De Baseline Informatiebeveiliging Overheid (BIO) vereist expliciet dat organisaties passende beveiligingsmaatregelen implementeren in alle fasen van de system lifecycle, inclusief tijdens ontwikkeling. Thema 12.01 (Logging en monitoring) vereist dat organisaties passende logging en monitoring implementeren voor alle systemen, en Thema 14.01 (Secure development) vereist dat organisaties een secure development proces hebben dat beveiliging integreert in alle fasen van applicatieontwikkeling. Secure Development Lifecycle vormt een directe implementatie van deze vereisten door niet alleen beveiliging te integreren in alle ontwikkelingsfasen, maar ook door expliciet security requirements, security reviews, en security testing in te bouwen in het ontwikkelingsproces. Tijdens BIO-audits moeten organisaties kunnen aantonen dat applicaties zijn ontwikkeld volgens een gestructureerd secure development proces, waarbij SDL-documentatie de audit-evidentie leveren die nodig is om aan te tonen dat deze vereisten worden nageleefd. De NIS2-richtlijn, Artikel 21, vereist dat essentiële en belangrijke entiteiten passende beveiligingsmaatregelen implementeren en kunnen aantonen dat deze maatregelen effectief zijn. Voor applicatieontwikkeling betekent dit dat organisaties moeten kunnen aantonen dat applicaties zijn ontwikkeld op een manier die voldoet aan beveiligingsvereisten en die beveiligingsrisico's minimaliseert. Secure Development Lifecycle helpt organisaties om aan deze vereiste te voldoen door niet alleen beveiliging te integreren in alle ontwikkelingsfasen, maar ook door expliciet security requirements te definiëren, security reviews uit te voeren, en security testing te implementeren. Voor Nederlandse organisaties die onder NIS2 vallen, is het daarom niet alleen aanbevolen maar verplicht om Secure Development Lifecycle te implementeren en te kunnen aantonen dat applicaties zijn ontwikkeld op een manier die beveiliging waarborgt. De Algemene Verordening Gegevensbescherming (AVG), Artikel 32, vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen. Voor applicatieontwikkeling betekent dit dat organisaties moeten kunnen aantonen dat applicaties zijn ontwikkeld op een manier die persoonsgegevens beschermt, inclusief versleuteling, toegangscontrole, en logging. Secure Development Lifecycle helpt organisaties om aan deze vereiste te voldoen door beveiligingsmaatregelen te identificeren en te implementeren die specifiek zijn gericht op het beschermen van persoonsgegevens tijdens ontwikkeling, zoals privacy by design principes, data minimization, en secure coding practices. Tijdens AVG-audits moeten organisaties kunnen aantonen dat zij passende maatregelen hebben geïmplementeerd om persoonsgegevens te beschermen tijdens ontwikkeling, waarbij SDL-documentatie de audit-evidentie leveren die nodig is om aan te tonen dat deze vereisten worden nageleefd.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.DevOps

Implementatie

Secure Development Lifecycle voor Azure-applicaties omvat een gestructureerd proces voor het integreren van beveiliging in alle fasen van applicatieontwikkeling, van requirements en design tot deployment en onderhoud. Het proces begint met security requirements waarbij beveiligingsvereisten worden gedefinieerd tijdens de requirementsfase, inclusief authenticatie- en autorisatievereisten, data protection vereisten, compliance-vereisten, en security testing vereisten. Deze requirements moeten worden gedocumenteerd en gevalideerd met security teams en compliance officers om te verifiëren dat zij voldoen aan organisatiebeleid en regelgevingsvereisten. Tijdens de designfase wordt threat modeling uitgevoerd om potentiële beveiligingsrisico's te identificeren en te mitigeren voordat applicaties worden gebouwd. Threat modeling omvat het identificeren van assets die moeten worden beschermd, het identificeren van potentiële bedreigingen en aanvallers, het evalueren van risico's, en het definiëren van mitigatiestrategieën. Deze threat models moeten worden gedocumenteerd en gereviewd door security teams om te verifiëren dat alle relevante bedreigingen zijn geïdentificeerd en gemitigeerd. Tijdens de developmentfase worden secure coding practices toegepast, inclusief inputvalidatie, output encoding, secure authentication en authorization, secure data storage, en secure error handling. Ontwikkelaars moeten worden getraind in secure coding practices en moeten toegang hebben tot security guidelines en best practices. Code reviews moeten worden uitgevoerd door security-aware ontwikkelaars of security teams om te verifiëren dat secure coding practices worden toegepast. Tijdens de testfase worden security tests uitgevoerd, inclusief static application security testing (SAST), dynamic application security testing (DAST), dependency scanning, en penetration testing. Deze tests moeten worden uitgevoerd door security teams of externe security consultants en moeten worden gedocumenteerd met testresultaten en remediatie-acties. Tijdens de deploymentfase worden beveiligingsconfiguraties geïmplementeerd, inclusief versleuteling, toegangscontrole, logging en monitoring. Deze configuraties moeten worden gevalideerd door security teams om te verifiëren dat zij voldoen aan beveiligingsvereisten. Na deployment worden applicaties continu gemonitord op beveiligingsincidenten en kwetsbaarheden, en worden security updates en patches toegepast wanneer nodig. Security monitoring moet worden geïmplementeerd via Azure Monitor, Log Analytics, en Microsoft Defender voor Cloud om beveiligingsincidenten te detecteren en aan te pakken.

Vereisten

Voor de implementatie van Secure Development Lifecycle voor Azure-applicaties zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten vormen de basis voor een succesvolle implementatie van SDL en zijn essentieel om te kunnen voldoen aan compliance-vereisten en best practices. Het begrijpen van deze vereisten is cruciaal voordat met de implementatie wordt begonnen, omdat ontbrekende vereisten kunnen leiden tot onvolledige implementaties of compliance-problemen. De primaire technische vereiste is de beschikbaarheid van development tools en platforms die SDL ondersteunen. Organisaties moeten beschikken over Azure DevOps of GitHub voor source control en CI/CD pipelines, security scanning tools zoals Microsoft Defender voor DevOps of GitHub Advanced Security voor SAST en DAST, dependency scanning tools zoals WhiteSource of Snyk voor het identificeren van kwetsbare dependencies, en threat modeling tools zoals Microsoft Threat Modeling Tool voor het uitvoeren van threat modeling. Daarnaast moeten organisaties beschikken over Azure-abonnementen met de juiste services en machtigingen voor het deployen en monitoren van applicaties. Deze tools moeten worden geconfigureerd om automatisch security scans uit te voeren tijdens development en deployment, waardoor beveiligingsproblemen vroegtijdig worden geïdentificeerd en aangepakt. PowerShell 5.1 of hoger is vereist voor geautomatiseerde implementatie en monitoring van SDL-processen. PowerShell biedt de command-line interface en scripting-capaciteiten die nodig zijn voor het configureren van Azure-services, het automatiseren van security scans, en het genereren van compliance-rapporten. Organisaties die nog steeds PowerShell 5.0 of ouder gebruiken, moeten upgraden naar PowerShell 5.1 of PowerShell 7.x (PowerShell Core) om compatibiliteit te garanderen met de Azure PowerShell-modules. PowerShell 7.x wordt aanbevolen voor nieuwe implementaties omdat het cross-platform ondersteuning biedt en actief wordt onderhouden door Microsoft. De juiste Azure PowerShell-modules zijn essentieel voor het implementeren en beheren van SDL-processen. De Az.Accounts-module is vereist voor authenticatie met Azure en het beheren van abonnementen. De Az.Resources-module is vereist voor het beheren van Azure-resources en het configureren van resource-tags en -beleid. De Az.DevOps-module is vereist voor het beheren van Azure DevOps-projecten, pipelines, en security scans. Voor specifieke services zijn aanvullende modules vereist: Az.Websites voor Azure App Service, Az.Functions voor Azure Functions, Az.ContainerInstance voor Azure Container Apps, en Az.Aks voor Azure Kubernetes Service. Alle modules kunnen worden geïnstalleerd via Install-Module -Name -Scope CurrentUser of Install-Module -Name -Scope AllUsers voor systeembrede installatie. Voor ontwikkelaars zijn specifieke kennis en vaardigheden vereist. Ontwikkelaars moeten bekend zijn met secure coding practices, begrijpen hoe beveiligingsrisico's worden geïdentificeerd en gemitigeerd, en weten hoe security tools worden gebruikt voor het scannen van code en dependencies. Daarnaast moeten ontwikkelaars bekend zijn met Azure-services en -architecturen, begrijpen hoe beveiliging wordt geïmplementeerd in Azure, en weten hoe logging en monitoring worden geconfigureerd. Organisaties moeten ontwikkelaars trainen in SDL-processen en secure coding practices voordat zij beginnen met het ontwikkelen van nieuwe applicaties. Deze training moet regelmatig worden herhaald om ontwikkelaars op de hoogte te houden van nieuwe beveiligingsbest practices en Azure-updates. Voor security teams zijn aanvullende vereisten van toepassing. Security teams moeten beschikken over expertise in applicatiebeveiliging, threat modeling, security testing, en compliance. Daarnaast moeten security teams toegang hebben tot security scanning tools en moeten zij in staat zijn om security reviews uit te voeren en security testresultaten te interpreteren. Security teams moeten ook processen hebben voor het beheren van security findings, het prioriteren van remediatie-acties, en het valideren van security fixes. Een belangrijk organisatorisch vereiste is de implementatie van een SDL-proces dat beveiliging integreert in alle fasen van applicatieontwikkeling. Dit proces moet security requirements definiëren tijdens de requirementsfase, threat modeling uitvoeren tijdens de designfase, secure coding practices toepassen tijdens de developmentfase, security testing uitvoeren tijdens de testfase, en security monitoring implementeren tijdens de productiefase. Organisaties moeten ook processen implementeren voor het beheren van security findings, het prioriteren van remediatie-acties, en het valideren van security fixes. Deze processen moeten worden gedocumenteerd en regelmatig worden gecontroleerd om te verifiëren dat zij effectief zijn en worden nageleefd door ontwikkelaars en security teams.

Implementatie

Gebruik PowerShell-script secure-development-lifecycle.ps1 (functie Invoke-Remediation) – Implementeert Secure Development Lifecycle processen voor Azure-applicaties inclusief security requirements, threat modeling, en security testing.

Het implementeren van Secure Development Lifecycle voor Azure-applicaties vereist een gestructureerde aanpak die begint met het opzetten van SDL-processen en -tools, gevolgd door het configureren van security requirements, threat modeling, secure coding practices, security testing, en eindigt met verificatie en compliance-rapportage. De implementatieprocedure varieert per organisatie en ontwikkelingsproces, maar volgt algemene principes die consistent zijn across alle applicaties. Het is belangrijk om te begrijpen dat SDL moet worden geïmplementeerd tijdens de initiële setup van het ontwikkelingsproces, niet achteraf, om te voorkomen dat beveiliging wordt toegevoegd aan reeds bestaande applicaties met kwetsbaarheden. De eerste fase van de implementatie bestaat uit het opzetten van SDL-processen en -tools. Organisaties moeten een SDL-proces documenteren dat beschrijft hoe beveiliging wordt geïntegreerd in alle fasen van applicatieontwikkeling, inclusief security requirements, threat modeling, secure coding practices, security testing, en security monitoring. Dit proces moet worden gecommuniceerd naar alle ontwikkelaars en security teams, en moet regelmatig worden geëvalueerd en verbeterd op basis van lessons learned. Daarnaast moeten organisaties security tools configureren en integreren in het ontwikkelingsproces, inclusief SAST tools voor het scannen van code op kwetsbaarheden, DAST tools voor het testen van applicaties op runtime-kwetsbaarheden, dependency scanning tools voor het identificeren van kwetsbare dependencies, en threat modeling tools voor het uitvoeren van threat modeling. Deze tools moeten worden geconfigureerd om automatisch te worden uitgevoerd tijdens development en deployment, waardoor beveiligingsproblemen vroegtijdig worden geïdentificeerd en aangepakt. Na het opzetten van SDL-processen en -tools moeten security requirements worden gedefinieerd en gedocumenteerd. Security requirements moeten worden gedefinieerd tijdens de requirementsfase en moeten expliciet beschrijven welke beveiligingsmaatregelen moeten worden geïmplementeerd, zoals authenticatie- en autorisatievereisten, data protection vereisten, compliance-vereisten, en security testing vereisten. Deze requirements moeten worden gevalideerd met security teams en compliance officers om te verifiëren dat zij voldoen aan organisatiebeleid en regelgevingsvereisten. Security requirements moeten ook worden geïntegreerd in user stories en acceptance criteria, waardoor beveiliging een expliciet onderdeel wordt van de development backlog. Tijdens de designfase moet threat modeling worden uitgevoerd om potentiële beveiligingsrisico's te identificeren en te mitigeren voordat applicaties worden gebouwd. Threat modeling omvat het identificeren van assets die moeten worden beschermd, het identificeren van potentiële bedreigingen en aanvallers, het evalueren van risico's, en het definiëren van mitigatiestrategieën. Deze threat models moeten worden gedocumenteerd en gereviewd door security teams om te verifiëren dat alle relevante bedreigingen zijn geïdentificeerd en gemitigeerd. Threat modeling moet worden uitgevoerd voor alle nieuwe applicaties en moet worden herhaald wanneer significante wijzigingen worden aangebracht aan applicatie-architectuur of -functionaliteit. Tijdens de developmentfase moeten secure coding practices worden toegepast. Ontwikkelaars moeten worden getraind in secure coding practices en moeten toegang hebben tot security guidelines en best practices. Code reviews moeten worden uitgevoerd door security-aware ontwikkelaars of security teams om te verifiëren dat secure coding practices worden toegepast. Daarnaast moeten automatische security scans worden uitgevoerd tijdens development, waarbij SAST tools code scannen op kwetsbaarheden en dependency scanning tools kwetsbare dependencies identificeren. Wanneer beveiligingsproblemen worden gedetecteerd, moeten deze worden aangepakt voordat code wordt gemerged naar de main branch. Tijdens de testfase moeten security tests worden uitgevoerd. DAST tools moeten worden gebruikt om applicaties te testen op runtime-kwetsbaarheden, en penetration testing moet worden uitgevoerd door security teams of externe security consultants voor kritieke applicaties. Security testresultaten moeten worden gedocumenteerd met testresultaten en remediatie-acties, en moeten worden gereviewd door security teams om te verifiëren dat alle beveiligingsproblemen zijn aangepakt voordat applicaties worden gedeployed naar productie. De totale implementatietijd voor Secure Development Lifecycle bedraagt ongeveer 40 tot 80 uur voor de meeste organisaties, afhankelijk van de grootte van het ontwikkelteam en de complexiteit van bestaande ontwikkelingsprocessen. Deze tijd omvat het opzetten van SDL-processen en -tools, het trainen van ontwikkelaars en security teams, het configureren van security scanning tools, en het implementeren van security requirements en threat modeling voor bestaande applicaties. De implementatie kan worden gefaseerd door eerst kritieke applicaties te beveiligen, gevolgd door minder kritieke applicaties, waardoor de impact op operationele activiteiten wordt geminimaliseerd.

Monitoring en Controle

Gebruik PowerShell-script secure-development-lifecycle.ps1 (functie Invoke-Monitoring) – Controleert Secure Development Lifecycle compliance voor alle Azure-applicaties en development processen.

Het continu monitoren van Secure Development Lifecycle compliance is essentieel voor het waarborgen van applicatiebeveiliging en het voldoen aan regelgevingsvereisten. Een proactieve monitoringstrategie voorkomt dat applicaties worden ontwikkeld zonder adequate beveiliging en zorgt ervoor dat nieuwe applicaties automatisch worden beveiligd volgens de gedefinieerde SDL-processen. Deze monitoringaanpak omvat meerdere lagen van controle, van geautomatiseerde security scans tot periodieke handmatige verificaties, en vormt de basis voor een robuuste beveiligingspostuur across alle Azure-applicaties. Automatische security scans vormen de eerste verdedigingslinie voor SDL compliance monitoring. Door security scanning tools te configureren die automatisch code scannen op kwetsbaarheden tijdens development en deployment, kunnen organisaties real-time inzicht krijgen in hun beveiligingscompliance. SAST tools moeten worden geconfigureerd om automatisch code te scannen wanneer code wordt gecommit of gemerged, waarbij beveiligingsproblemen worden geïdentificeerd voordat code wordt gedeployed. DAST tools moeten worden geconfigureerd om automatisch applicaties te testen op runtime-kwetsbaarheden tijdens deployment, waarbij beveiligingsproblemen worden geïdentificeerd voordat applicaties live gaan. Dependency scanning tools moeten worden geconfigureerd om automatisch kwetsbare dependencies te identificeren, waarbij ontwikkelaars worden gewaarschuwd wanneer kwetsbare dependencies worden gebruikt. Deze automatische scans moeten worden geïntegreerd in CI/CD pipelines, waardoor beveiligingsproblemen automatisch worden gedetecteerd en geblokkeerd wanneer zij kritieke risico's vormen. Microsoft Defender voor DevOps speelt een cruciale rol in de continue monitoring van SDL-implementaties across alle Azure-applicaties. Deze service biedt ingebouwde security scanning capabilities die specifiek code, dependencies, en infrastructure-as-code monitoren en prioriteren op basis van risiconiveau. Defender voor DevOps identificeert automatisch kwetsbare code, kwetsbare dependencies, en onveilige configuraties, en genereert gedetailleerde security recommendations die kunnen worden gebruikt voor interne audits en externe certificeringen. Bovendien integreert Defender voor DevOps met Azure DevOps en GitHub om een gecombineerde monitoringaanpak te bieden waarbij zowel code security als infrastructure security worden geëvalueerd. Organisaties kunnen deze recommendations configureren om automatisch te escaleren naar security teams via email, Microsoft Teams, of ServiceNow integraties. Kwartaalcontroles vormen een essentiële aanvulling op geautomatiseerde monitoring. Deze periodieke handmatige verificaties zorgen ervoor dat alle applicaties, inclusief die welke mogelijk buiten de scope van geautomatiseerde tools vallen, worden gecontroleerd op SDL compliance. Tijdens deze controles worden alle Azure-applicaties in de organisatie geïnventariseerd en geverifieerd op security requirements, threat modeling, secure coding practices, security testing, en security monitoring. Dit proces omvat het uitvoeren van een volledige scan met PowerShell-scripts die alle applicaties in alle abonnementen doorlopen, het genereren van een compliance-rapport dat de beveiligingsstatus per applicatie documenteert, en het identificeren van eventuele afwijkingen die aanvullende actie vereisen. Deze kwartaalcontroles dienen ook als auditbewijs voor externe certificeringen en compliance-verificaties, waarbij gedocumenteerde bewijzen worden opgeslagen voor een retentieperiode van minimaal zeven jaar. Voor nieuwe applicaties is een geautomatiseerd verificatieproces binnen 24 uur na deployment cruciaal. Wanneer een nieuwe Azure-applicatie wordt gedeployed, moet deze automatisch worden gecontroleerd op SDL compliance. Hoewel security scanning tools automatisch worden uitgevoerd tijdens development en deployment, kunnen configuratiefouten of handmatige wijzigingen ertoe leiden dat security scans worden overgeslagen of niet correct worden uitgevoerd. Een geautomatiseerd proces dat binnen 24 uur na applicatie-deployment wordt uitgevoerd, identificeert dergelijke afwijkingen onmiddellijk en kan automatische remediatie activeren. Dit proces kan worden geïmplementeerd via Azure Automation runbooks die worden getriggerd door Event Grid events wanneer nieuwe applicaties worden gedeployed, of via Azure Functions die periodiek alle applicaties scannen en nieuwe applicaties identificeren die nog niet zijn geverifieerd. De monitoringstrategie moet ook aandacht besteden aan security findings en remediatie. Monitoring moet verifiëren dat security findings worden gedocumenteerd, geprioriteerd, en aangepakt volgens organisatiebeleid. Security findings moeten worden getracked in een security findings management systeem, waarbij kritieke findings onmiddellijk worden aangepakt en minder kritieke findings worden gepland voor remediatie. Organisaties moeten processen implementeren voor het beheren van security findings, het prioriteren van remediatie-acties, en het valideren van security fixes. Deze processen moeten worden gedocumenteerd en regelmatig worden gecontroleerd om te verifiëren dat zij effectief zijn en worden nageleefd door ontwikkelaars en security teams. Rapportage en documentatie zijn essentieel voor compliance en auditing. Alle monitoringactiviteiten moeten worden gedocumenteerd in compliance-rapporten die regelmatig worden gegenereerd en opgeslagen. Deze rapporten moeten de beveiligingsstatus van alle applicaties bevatten, eventuele afwijkingen documenteren, en de genomen remediatieacties beschrijven. Voor externe audits en certificeringen zijn deze rapporten onmisbaar en moeten ze beschikbaar zijn voor een periode die overeenkomt met de compliancevereisten van de organisatie, typisch minimaal zeven jaar voor financiële en overheidsorganisaties. Automatische compliance-rapportage via security scanning tools en Microsoft Defender voor DevOps kan helpen bij het genereren en onderhouden van deze auditdocumentatie.

Compliance en Auditing

Secure Development Lifecycle voor Azure-applicaties is een fundamentele vereiste voor naleving van vrijwel alle moderne cybersecurity- en privacyregelgeving. Deze methodologie vormt de basis voor applicatiebeveiliging en is expliciet of impliciet vereist door internationale standaarden, Europese regelgeving en Nederlandse overheidsrichtlijnen. Organisaties die Azure-applicaties ontwikkelen voor het verwerken van gevoelige gegevens, persoonsgegevens of financiële informatie, moeten Secure Development Lifecycle implementeren om te voldoen aan hun compliance-verplichtingen. De Baseline Informatiebeveiliging Overheid (BIO) vereist expliciet dat organisaties passende beveiligingsmaatregelen implementeren in alle fasen van de system lifecycle, inclusief tijdens ontwikkeling. Thema 14.01 (Secure development) vereist dat organisaties een secure development proces hebben dat beveiliging integreert in alle fasen van applicatieontwikkeling. Dit betekent dat organisaties moeten kunnen aantonen dat zij een gestructureerd proces hebben voor het ontwikkelen van applicaties op een manier die beveiliging waarborgt. Secure Development Lifecycle vormt een directe implementatie van deze vereiste door niet alleen beveiliging te integreren in alle ontwikkelingsfasen, maar ook door expliciet security requirements, security reviews, en security testing in te bouwen in het ontwikkelingsproces. Tijdens BIO-audits moeten organisaties kunnen aantonen dat applicaties zijn ontwikkeld volgens een gestructureerd secure development proces, waarbij SDL-documentatie de audit-evidentie leveren die nodig is om aan te tonen dat deze vereisten worden nageleefd. De NIS2-richtlijn, Artikel 21, vereist dat essentiële en belangrijke entiteiten passende beveiligingsmaatregelen implementeren en kunnen aantonen dat deze maatregelen effectief zijn. Voor applicatieontwikkeling betekent dit dat organisaties moeten kunnen aantonen dat applicaties zijn ontwikkeld op een manier die voldoet aan beveiligingsvereisten en die beveiligingsrisico's minimaliseert. Secure Development Lifecycle helpt organisaties om aan deze vereiste te voldoen door niet alleen beveiliging te integreren in alle ontwikkelingsfasen, maar ook door expliciet security requirements te definiëren, security reviews uit te voeren, en security testing te implementeren. Voor Nederlandse organisaties die onder NIS2 vallen, is het daarom niet alleen aanbevolen maar verplicht om Secure Development Lifecycle te implementeren en te kunnen aantonen dat applicaties zijn ontwikkeld op een manier die beveiliging waarborgt. ISO 27001:2022 controle A.14.2.1 (Secure development policy) verplicht organisaties om een beleid te hebben voor secure development. Deze controle vereist dat organisaties een secure development policy hebben die beschrijft hoe beveiliging wordt geïntegreerd in alle fasen van applicatieontwikkeling. Secure Development Lifecycle is een directe implementatie van deze controle voor applicatieontwikkeling. Tijdens ISO 27001 certificering en surveillance audits moeten organisaties kunnen aantonen dat applicaties zijn ontwikkeld volgens een secure development policy, dat security requirements zijn gedefinieerd en geïmplementeerd, en dat security testing is uitgevoerd. De audit zal verifiëren dat het secure development policy is gedocumenteerd, dat SDL-processen zijn geïmplementeerd volgens dit policy, en dat security findings worden gedocumenteerd en aangepakt. Secure Development Lifecycle met gedocumenteerde processen en security scanning tools voldoen aan deze vereiste, maar organisaties moeten kunnen aantonen dat SDL-processen effectief zijn en worden nageleefd door ontwikkelaars en security teams. De Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR, vereist in Artikel 32 dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Privacy by design en privacy by default worden expliciet genoemd als vereisten voor het verwerken van persoonsgegevens. Voor Azure-applicaties die persoonsgegevens bevatten, zijn Secure Development Lifecycle en privacy by design principes daarom niet alleen een best practice, maar een wettelijke vereiste. Organisaties die persoonsgegevens verwerken zonder adequate beveiliging tijdens ontwikkeling, schenden de AVG en kunnen worden geconfronteerd met boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Bovendien kunnen betrokkenen schadevergoeding eisen bij datalekken waarbij onveilige applicaties zijn gecompromitteerd. Secure Development Lifecycle-implementatie moet worden gedocumenteerd in het verwerkingsregister en kan worden gecontroleerd tijdens AVG-audits door de Autoriteit Persoonsgegevens. OWASP Top 10 voor Application Security identificeert onveilige applicatie-ontwikkeling als een kritiek beveiligingsrisico. Secure Development Lifecycle adresseert deze risico's door security requirements te definiëren, threat modeling uit te voeren, secure coding practices toe te passen, en security testing uit te voeren. Organisaties die OWASP best practices volgen, moeten Secure Development Lifecycle implementeren om deze risico's te mitigeren. Tijdens security assessments en penetration tests worden applicaties gecontroleerd op de aanwezigheid van SDL-processen, en het ontbreken van deze processen resulteert in kritieke security findings die onmiddellijk moeten worden opgelost. Voor compliance-audits en certificeringen is het essentieel dat organisaties gedocumenteerd bewijs kunnen leveren van Secure Development Lifecycle-implementatie across alle applicaties. Dit bewijs omvat SDL-procesdocumentatie, security requirements documentatie, threat models, security testresultaten, security findings en remediatie-acties, en compliance-rapporten die regelmatig worden gegenereerd. Deze documentatie moet worden bewaard voor een periode die overeenkomt met de compliancevereisten, typisch minimaal zeven jaar voor financiële en overheidsorganisaties. Automatische compliance-rapportage via security scanning tools en Microsoft Defender voor DevOps kan helpen bij het genereren en onderhouden van deze auditdocumentatie.

Remediatie

Gebruik PowerShell-script secure-development-lifecycle.ps1 (functie Invoke-Remediation) – Implementeert Secure Development Lifecycle processen voor applicaties zonder adequate SDL-implementatie.

Remediatie van Secure Development Lifecycle voor Azure-applicaties omvat het implementeren van SDL-processen voor applicaties die deze nog niet hebben, het corrigeren van ontbrekende security requirements, threat modeling, secure coding practices, en security testing, en het waarborgen dat alle applicaties consistent worden beveiligd volgens de gedefinieerde SDL-processen. Het is belangrijk om te realiseren dat wanneer Secure Development Lifecycle niet is geïmplementeerd, applicaties kwetsbaar zijn voor verschillende beveiligingsrisico's, waaronder onveilige authenticatie, onvoldoende inputvalidatie, onveilige data-opslag, en onbeveiligde API-communicatie. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van problemen met SDL, zodat de impact op beveiliging en compliance wordt geminimaliseerd. Wanneer applicaties worden geïdentificeerd zonder adequate Secure Development Lifecycle-implementatie, moet eerst worden geanalyseerd welke SDL-processen ontbreken en welke risico's dit oplevert. Deze analyse omvat het inventariseren van alle Azure-applicaties in de organisatie, het controleren van security requirements, threat modeling, secure coding practices, security testing, en security monitoring, en het identificeren van ontbrekende SDL-processen. Op basis van deze analyse kan een prioriteringslijst worden opgesteld waarbij kritieke applicaties die gevoelige gegevens verwerken eerst worden beveiligd, gevolgd door minder kritieke applicaties. Deze prioritering zorgt ervoor dat de meest risicovolle applicaties eerst worden beveiligd, waardoor de totale beveiligingspostuur sneller wordt verbeterd. Voor applicaties zonder security requirements moeten deze worden gedefinieerd en gedocumenteerd. Security requirements moeten expliciet beschrijven welke beveiligingsmaatregelen moeten worden geïmplementeerd, zoals authenticatie- en autorisatievereisten, data protection vereisten, compliance-vereisten, en security testing vereisten. Deze requirements moeten worden gevalideerd met security teams en compliance officers om te verifiëren dat zij voldoen aan organisatiebeleid en regelgevingsvereisten. Security requirements moeten ook worden geïntegreerd in user stories en acceptance criteria, waardoor beveiliging een expliciet onderdeel wordt van de development backlog. Voor applicaties zonder threat modeling moet threat modeling worden uitgevoerd om potentiële beveiligingsrisico's te identificeren en te mitigeren. Threat modeling omvat het identificeren van assets die moeten worden beschermd, het identificeren van potentiële bedreigingen en aanvallers, het evalueren van risico's, en het definiëren van mitigatiestrategieën. Deze threat models moeten worden gedocumenteerd en gereviewd door security teams om te verifiëren dat alle relevante bedreigingen zijn geïdentificeerd en gemitigeerd. Voor bestaande applicaties kan threat modeling worden uitgevoerd retroactief, waarbij beveiligingsrisico's worden geïdentificeerd en gemitigeerd voor applicaties die al in productie zijn. Voor applicaties zonder secure coding practices moeten ontwikkelaars worden getraind in secure coding practices en moeten code reviews worden uitgevoerd door security-aware ontwikkelaars of security teams. Daarnaast moeten automatische security scans worden geconfigureerd en uitgevoerd, waarbij SAST tools code scannen op kwetsbaarheden en dependency scanning tools kwetsbare dependencies identificeren. Wanneer beveiligingsproblemen worden gedetecteerd, moeten deze worden aangepakt volgens organisatiebeleid, waarbij kritieke problemen onmiddellijk worden aangepakt en minder kritieke problemen worden gepland voor remediatie. Voor applicaties zonder security testing moeten security tests worden uitgevoerd. DAST tools moeten worden gebruikt om applicaties te testen op runtime-kwetsbaarheden, en penetration testing moet worden uitgevoerd door security teams of externe security consultants voor kritieke applicaties. Security testresultaten moeten worden gedocumenteerd met testresultaten en remediatie-acties, en moeten worden gereviewd door security teams om te verifiëren dat alle beveiligingsproblemen zijn aangepakt. Na het implementeren van Secure Development Lifecycle-processen moet worden geverifieerd dat de implementatie correct werkt en dat applicaties nog steeds functioneren zoals verwacht. Dit kan worden gedaan door applicatieprestaties te monitoren, door test-aanroepen uit te voeren naar API's en services, en door te verifiëren dat security scanning tools correct werken en security findings genereren. Als er problemen worden gedetecteerd, moeten deze worden opgelost voordat de organisatie weer afhankelijk wordt van de beveiligde applicaties. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van het ontbreken van Secure Development Lifecycle-processen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat ontwikkelaars moeten worden getraind in SDL-processen, dat security reviews moeten worden geïmplementeerd tijdens de ontwikkelingsfase, of dat geautomatiseerde security scanning moet worden toegevoegd aan CI/CD-pipelines om beveiligingsproblemen automatisch te detecteren. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat nieuwe applicaties automatisch Secure Development Lifecycle-processen implementeren en dat er geen nieuwe kwetsbaarheden worden geïntroduceerd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Secure Development Lifecycle .DESCRIPTION Controleert en configureert Secure Development Lifecycle processen voor Azure-applicaties. Biedt monitoring van SDL compliance en ondersteuning voor configuratie van security requirements, threat modeling, secure coding practices, en security testing. .NOTES Filename: secure-development-lifecycle.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/development/secure-development-lifecycle.json NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om lokale testen uit te voeren zonder verbinding te maken met Azure-API's. .EXAMPLE .\secure-development-lifecycle.ps1 -Monitoring Controleert de status van Secure Development Lifecycle processen .EXAMPLE .\secure-development-lifecycle.ps1 -Remediation -WhatIf Preview van SDL proces configuratie voor applicaties zonder adequate SDL-implementatie #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.DevOps [CmdletBinding()] param( [Parameter(HelpMessage = "Controleert de status van Secure Development Lifecycle processen")] [switch]$Monitoring, [Parameter(HelpMessage = "Configureert Secure Development Lifecycle processen voor applicaties die nog niet zijn beveiligd")] [switch]$Remediation, [Parameter(HelpMessage = "Preview van wijzigingen zonder daadwerkelijke configuratie")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Secure Development Lifecycle" function Get-IsLocalDebug { param() return [bool]($env:NBVC_LOCAL_DEBUG -eq '1') } function Connect-RequiredServices { if (Get-IsLocalDebug) { Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen." return } try { $requiredModules = @('Az.Accounts', 'Az.Resources', 'Az.DevOps') foreach ($module in $requiredModules) { if (-not (Get-Module -ListAvailable -Name $module)) { throw "Het PowerShell-module '$module' is niet beschikbaar. Installeer dit module voordat u het script gebruikt." } } $ctx = Get-AzContext -ErrorAction SilentlyContinue if (-not $ctx) { Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)" } } catch { throw "Kon niet verbinden met Azure: $($_.Exception.Message)" } } function Get-SDLComplianceStatus { <# .SYNOPSIS Haalt de status op van Secure Development Lifecycle compliance. .OUTPUTS PSCustomObject met status van SDL compliance per applicatie. #> [CmdletBinding()] param() if (Get-IsLocalDebug) { # Gesimuleerde gegevens voor lokale debug en CI-tests return [PSCustomObject]@{ Timestamp = Get-Date TotalApplications = 25 CompliantApplications = 18 NonCompliantApplications = 7 ApplicationsWithSecurityRequirements = 20 ApplicationsWithThreatModeling = 15 ApplicationsWithSecurityTesting = 22 ApplicationsWithSecureCoding = 19 SecurityFindings = 12 CriticalFindings = 3 HighFindings = 5 MediumFindings = 4 Applications = @( [PSCustomObject]@{ ApplicationName = "WebApp-Production" SDLCompliant = $true HasSecurityRequirements = $true HasThreatModeling = $true HasSecurityTesting = $true HasSecureCoding = $true SecurityFindingsCount = 0 LastSecurityScan = (Get-Date).AddDays(-2) }, [PSCustomObject]@{ ApplicationName = "API-Service-Dev" SDLCompliant = $false HasSecurityRequirements = $true HasThreatModeling = $false HasSecurityTesting = $true HasSecureCoding = $true SecurityFindingsCount = 5 LastSecurityScan = (Get-Date).AddDays(-5) } ) } } Connect-RequiredServices try { # Haal alle App Services op $appServices = Get-AzWebApp -ErrorAction SilentlyContinue $applications = @() $totalApplications = 0 $compliantApplications = 0 $applicationsWithSecurityRequirements = 0 $applicationsWithThreatModeling = 0 $applicationsWithSecurityTesting = 0 $applicationsWithSecureCoding = 0 $securityFindings = 0 $criticalFindings = 0 $highFindings = 0 $mediumFindings = 0 foreach ($app in $appServices) { $totalApplications++ $isCompliant = $true $hasSecurityRequirements = $false $hasThreatModeling = $false $hasSecurityTesting = $false $hasSecureCoding = $false $findingsCount = 0 # Controleer op security tags die SDL compliance aangeven if ($app.Tags) { if ($app.Tags.ContainsKey('SecurityRequirements') -and $app.Tags['SecurityRequirements'] -eq 'Yes') { $hasSecurityRequirements = $true $applicationsWithSecurityRequirements++ } else { $isCompliant = $false } if ($app.Tags.ContainsKey('ThreatModeling') -and $app.Tags['ThreatModeling'] -eq 'Yes') { $hasThreatModeling = $true $applicationsWithThreatModeling++ } else { $isCompliant = $false } if ($app.Tags.ContainsKey('SecurityTesting') -and $app.Tags['SecurityTesting'] -eq 'Yes') { $hasSecurityTesting = $true $applicationsWithSecurityTesting++ } else { $isCompliant = $false } if ($app.Tags.ContainsKey('SecureCoding') -and $app.Tags['SecureCoding'] -eq 'Yes') { $hasSecureCoding = $true $applicationsWithSecureCoding++ } else { $isCompliant = $false } if ($app.Tags.ContainsKey('SecurityFindings')) { $findingsCount = [int]$app.Tags['SecurityFindings'] $securityFindings += $findingsCount } } else { $isCompliant = $false } if ($isCompliant) { $compliantApplications++ } $applications += [PSCustomObject]@{ ApplicationName = $app.Name SDLCompliant = $isCompliant HasSecurityRequirements = $hasSecurityRequirements HasThreatModeling = $hasThreatModeling HasSecurityTesting = $hasSecurityTesting HasSecureCoding = $hasSecureCoding SecurityFindingsCount = $findingsCount LastSecurityScan = if ($app.Tags -and $app.Tags.ContainsKey('LastSecurityScan')) { [DateTime]::Parse($app.Tags['LastSecurityScan']) } else { $null } } } return [PSCustomObject]@{ Timestamp = Get-Date TotalApplications = $totalApplications CompliantApplications = $compliantApplications NonCompliantApplications = $totalApplications - $compliantApplications ApplicationsWithSecurityRequirements = $applicationsWithSecurityRequirements ApplicationsWithThreatModeling = $applicationsWithThreatModeling ApplicationsWithSecurityTesting = $applicationsWithSecurityTesting ApplicationsWithSecureCoding = $applicationsWithSecureCoding SecurityFindings = $securityFindings CriticalFindings = $criticalFindings HighFindings = $highFindings MediumFindings = $mediumFindings Applications = $applications } } catch { Write-Verbose "Fout bij ophalen van SDL compliance-status: $($_.Exception.Message)" return [PSCustomObject]@{ Timestamp = Get-Date TotalApplications = 0 CompliantApplications = 0 NonCompliantApplications = 0 ApplicationsWithSecurityRequirements = 0 ApplicationsWithThreatModeling = 0 ApplicationsWithSecurityTesting = 0 ApplicationsWithSecureCoding = 0 SecurityFindings = 0 CriticalFindings = 0 HighFindings = 0 MediumFindings = 0 Applications = @() Error = $_.Exception.Message } } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de status van Secure Development Lifecycle processen. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $status = Get-SDLComplianceStatus Write-Host "Totaal aantal applicaties: $($status.TotalApplications)" -ForegroundColor White Write-Host "Compliant applicaties: $($status.CompliantApplications)" -ForegroundColor $(if ($status.CompliantApplications -gt 0) { "Green" } else { "Yellow" }) Write-Host "Non-compliant applicaties: $($status.NonCompliantApplications)" -ForegroundColor $(if ($status.NonCompliantApplications -eq 0) { "Green" } else { "Yellow" }) Write-Host "Applicaties met security requirements: $($status.ApplicationsWithSecurityRequirements)" -ForegroundColor White Write-Host "Applicaties met threat modeling: $($status.ApplicationsWithThreatModeling)" -ForegroundColor White Write-Host "Applicaties met security testing: $($status.ApplicationsWithSecurityTesting)" -ForegroundColor White Write-Host "Applicaties met secure coding: $($status.ApplicationsWithSecureCoding)" -ForegroundColor White Write-Host "Totaal security findings: $($status.SecurityFindings)" -ForegroundColor $(if ($status.SecurityFindings -eq 0) { "Green" } else { "Yellow" }) if ($status.Applications.Count -gt 0) { Write-Host "`nApplicaties:" -ForegroundColor Cyan foreach ($app in $status.Applications) { Write-Host "`nApplicatienaam: $($app.ApplicationName)" -ForegroundColor Cyan Write-Host " SDL Compliant: $($app.SDLCompliant)" -ForegroundColor $(if ($app.SDLCompliant) { "Green" } else { "Yellow" }) Write-Host " Security Requirements: $($app.HasSecurityRequirements)" -ForegroundColor $(if ($app.HasSecurityRequirements) { "Green" } else { "Yellow" }) Write-Host " Threat Modeling: $($app.HasThreatModeling)" -ForegroundColor $(if ($app.HasThreatModeling) { "Green" } else { "Yellow" }) Write-Host " Security Testing: $($app.HasSecurityTesting)" -ForegroundColor $(if ($app.HasSecurityTesting) { "Green" } else { "Yellow" }) Write-Host " Secure Coding: $($app.HasSecureCoding)" -ForegroundColor $(if ($app.HasSecureCoding) { "Green" } else { "Yellow" }) Write-Host " Security Findings: $($app.SecurityFindingsCount)" -ForegroundColor $(if ($app.SecurityFindingsCount -eq 0) { "Green" } else { "Yellow" }) if ($app.LastSecurityScan) { Write-Host " Laatste security scan: $($app.LastSecurityScan.ToString('yyyy-MM-dd'))" -ForegroundColor Gray } } } else { Write-Host "`nGeen applicaties gevonden." -ForegroundColor Yellow } if ($status.Error) { Write-Host "`nFout bij ophalen van SDL compliance-status: $($status.Error)" -ForegroundColor Red } # Compliance evaluatie $compliancePercentage = if ($status.TotalApplications -gt 0) { [Math]::Round(($status.CompliantApplications / $status.TotalApplications) * 100, 2) } else { 0 } if ($status.TotalApplications -gt 0 -and $compliancePercentage -ge 80 -and $status.SecurityFindings -eq 0) { Write-Host "`nResultaat: Secure Development Lifecycle is goed geconfigureerd. Applicaties worden ontwikkeld volgens gestructureerde SDL-processen met adequate beveiliging." -ForegroundColor Green return 0 } elseif ($status.TotalApplications -gt 0 -and $compliancePercentage -ge 50) { Write-Host "`nResultaat: Secure Development Lifecycle is gedeeltelijk geconfigureerd. Overweeg om meer applicaties te beveiligen volgens SDL-processen voor complete beveiliging." -ForegroundColor Yellow return 1 } else { Write-Host "`nResultaat: Secure Development Lifecycle is niet of nauwelijks geconfigureerd. Dit vormt een significant risico voor applicatiebeveiliging en kan leiden tot beveiligingsincidenten, datalekken, of compliance-schendingen." -ForegroundColor Red Write-Host "Aanbeveling: Configureer Secure Development Lifecycle processen voor alle applicaties om weloverwogen applicatiebeveiliging te waarborgen." -ForegroundColor Yellow return 2 } } function Invoke-Remediation { <# .SYNOPSIS Configureert Secure Development Lifecycle processen voor applicaties die nog niet zijn beveiligd. .DESCRIPTION Deze functie identificeert applicaties zonder adequate SDL-implementatie en biedt ondersteuning voor het configureren van SDL-processen. In productie vereist dit handmatige configuratie via development tools of uitgebreidere automatisering. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $status = Get-SDLComplianceStatus if ($status.TotalApplications -gt 0 -and $status.NonCompliantApplications -eq 0) { Write-Host "Alle applicaties zijn beveiligd volgens Secure Development Lifecycle processen." -ForegroundColor Green Write-Host "Geen remediatie nodig." -ForegroundColor Green return 0 } Write-Host "`nNon-compliant applicaties: $($status.NonCompliantApplications)" -ForegroundColor Yellow Write-Host "Compliant applicaties: $($status.CompliantApplications)" -ForegroundColor $(if ($status.CompliantApplications -gt 0) { "Green" } else { "Yellow" }) if ($WhatIf) { Write-Host "`n[WHATIF] Het script zou de volgende acties uitvoeren:" -ForegroundColor Yellow Write-Host " 1. Applicaties identificeren zonder adequate SDL-implementatie" -ForegroundColor White Write-Host " 2. Security requirements definiëren en documenteren" -ForegroundColor White Write-Host " 3. Threat modeling uitvoeren voor applicaties" -ForegroundColor White Write-Host " 4. Secure coding practices implementeren" -ForegroundColor White Write-Host " 5. Security testing configureren en uitvoeren" -ForegroundColor White Write-Host " 6. Security monitoring implementeren" -ForegroundColor White Write-Host "`nOpmerking: Volledige automatisering van Secure Development Lifecycle vereist" -ForegroundColor Cyan Write-Host "uitgebreidere scripting en handmatige validatie. Gebruik deze functie voor" -ForegroundColor Cyan Write-Host "het identificeren van applicaties die SDL-processen nodig hebben." -ForegroundColor Cyan return 0 } Write-Host "`nAanbevolen vervolgstappen:" -ForegroundColor Cyan Write-Host " 1. Definieer security requirements voor alle applicaties" -ForegroundColor White Write-Host " 2. Voer threat modeling uit voor alle applicaties" -ForegroundColor White Write-Host " 3. Train ontwikkelaars in secure coding practices" -ForegroundColor White Write-Host " 4. Configureer security scanning tools (SAST, DAST, dependency scanning)" -ForegroundColor White Write-Host " 5. Implementeer security testing in CI/CD pipelines" -ForegroundColor White Write-Host " 6. Configureer security monitoring en logging" -ForegroundColor White Write-Host " 7. Documenteer SDL-processen en security findings" -ForegroundColor White Write-Host " 8. Voer regelmatige security reviews uit" -ForegroundColor White if ($status.NonCompliantApplications -gt 0) { Write-Host "`nVoor non-compliant applicaties:" -ForegroundColor Yellow Write-Host " 1. Zorg ervoor dat u beschikt over voldoende Azure-machtigingen" -ForegroundColor White Write-Host " 2. Identificeer welke SDL-processen ontbreken per applicatie" -ForegroundColor White Write-Host " 3. Prioriteer applicaties op basis van kritikaliteit en risico" -ForegroundColor White Write-Host " 4. Implementeer security requirements en threat modeling" -ForegroundColor White Write-Host " 5. Configureer security scanning en testing" -ForegroundColor White Write-Host " 6. Valideer dat SDL-processen correct werken" -ForegroundColor White Write-Host " 7. Documenteer alle SDL-activiteiten voor audit-doeleinden" -ForegroundColor White } return 1 } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { $exitCode = Invoke-Monitoring exit $exitCode } elseif ($Remediation) { $exitCode = Invoke-Remediation exit $exitCode } else { # Standaard: monitoring uitvoeren $exitCode = Invoke-Monitoring exit $exitCode } } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red if ($_.Exception.InnerException) { Write-Host "Inner Exception: $($_.Exception.InnerException.Message)" -ForegroundColor Red } exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Kritiek - Zonder Secure Development Lifecycle zijn applicaties kwetsbaar voor beveiligingsrisico's zoals onveilige authenticatie, onvoldoende inputvalidatie, onveilige data-opslag, en onbeveiligde API-communicatie. AVG-boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet.

Management Samenvatting

Implementeer Secure Development Lifecycle voor alle Azure-applicaties inclusief security requirements, threat modeling, secure coding practices, en security testing. Essentieel voor BIO, NIS2, ISO 27001 en AVG compliance. Implementatietijd: 80 uur (40 technisch, 40 organisatorisch).