SEC11-BP01 Pelatihan untuk keamanan aplikasi - AWS Well-Architected Framework
Panduan implementasi Sumber daya

SEC11-BP01 Pelatihan untuk keamanan aplikasi

Berikan pelatihan kepada builder dalam organisasi Anda mengenai praktik umum untuk pengembangan dan pengoperasian aplikasi yang aman. Adopsi praktik pengembangan yang berfokus pada keamanan akan membantu mengurangi kemungkinan munculnya masalah yang hanya terdeteksi pada tahap peninjauan keamanan.

Hasil yang diinginkan: Perangkat lunak harus didesain dan dikembangkan dengan mempertimbangkan keamanan. Saat builder di sebuah organisasi berlatih praktik pengembangan aman yang dimulai dengan model ancaman, langkah ini meningkatkan keseluruhan kualitas dan keamanan perangkat lunak yang dibuat. Pendekatan ini dapat mempersingkat waktu untuk mengirimkan perangkat lunak atau fitur karena tidak perlu banyak pengerjaan ulang setelah tahap peninjauan keamanan.

Untuk tujuan praktik terbaik ini, pengembangan aman merujuk pada perangkat lunak yang sedang ditulis dan alat atau sistem yang mendukung siklus hidup pengembangan perangkat lunak (SDLC).

Antipola umum:

  • Menunggu sampai peninjauan keamanan, lalu mempertimbangkan karakteristik keamanan sistem.

  • Menyerahkan semua keputusan keamanan kepada tim keamanan.

  • Gagal menyampaikan cara keputusan diambil di SDLC terkait ekspektasi keseluruhan keamanan atau kebijakan organisasi.

  • Terlambat melibatkan diri dalam proses peninjauan keamanan.

Manfaat menjalankan praktik terbaik ini:

  • Memiliki pengetahuan yang lebih baik seputar persyaratan organisasi untuk keamanan pada fase awal siklus pengembangan.

  • Dapat mengidentifikasi dan mengatasi potensi masalah keamanan lebih cepat, sehingga dapat mengirim fitur lebih cepat.

  • Peningkatan kualitas perangkat lunak dan sistem.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Sediakan pelatihan kepada builder di organisasi Anda. Memulai dengan kursus pemodelan ancaman adalah dasar yang baik guna membantu pelatihan untuk keamanan. Idealnya, builder harus dapat mengakses secara mandiri informasi yang relevan dengan beban kerja mereka. Akses ini membantu mereka mengambil keputusan yang tepat tentang karakteristik keamanan sistem yang mereka bangun tanpa perlu bertanya kepada tim lain. Proses melibatkan tim keamanan untuk peninjauan harus diatur dengan jelas dan mudah diikuti. Langkah-langkah di proses peninjauan harus disertakan dalam pelatihan keamanan. Jika tersedia templat atau pola implementasi yang diketahui, keduanya harus mudah dicari dan berhubungan dengan persyaratan keamanan keseluruhan. Pertimbangkan untuk menggunakan AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) Constructs, Service Catalog, atau alat pembuat templat lainnya untuk mengurangi kebutuhan akan konfigurasi kustom.

Langkah implementasi

  • Mulai latih builder dengan memberikan kursus terkait pemodelan ancaman untuk membangun dasar yang baik, dan bimbing mereka untuk mengetahui cara memikirkan tentang keamanan.

  • Berikan akses ke AWS Training dan Sertifikasi, industri, atau pelatihan Partner AWS.

  • Berikan pelatihan terkait proses peninjauan keamanan organisasi Anda, yang menguraikan pembagian tanggung jawab antara tim keamanan, tim beban kerja, dan pemegang kepentingan lainnya.

  • Publikasikan panduan layanan mandiri terkait cara memenuhi persyaratan keamanan Anda, termasuk templat dan contoh kode, jika tersedia.

  • Dapatkan umpan balik secara rutin dari tim builder terkait pengalaman mereka seputar pelatihan dan proses peninjauan keamanan, dan gunakan umpan balik tersebut untuk meningkatkan kualitasnya.

  • Gunakan kampanye game day atau bug bash untuk membantu menurunkan jumlah masalah, dan mengasah kemampuan builder Anda.

Sumber daya

Praktik Terbaik Terkait:

Dokumen terkait:

Video terkait:

Contoh terkait:

Layanan terkait: