Hopp til hovedinnhold

Introduksjon ⭐

Velkommen til NAVs Security Playbook – inngangen til alt du trenger for å jobbe med sikkerhet i produktteam.

note

Vi forsøker hardt å holde denne playbooken så åpen som mulig, men av og til må noen ting begrenses av hensyn til sikkerhet eller copyright og lisenser. Noen av linkene her vil derfor føre til steder som krever at du jobber i NAV og har en skikkelig nais device.

Hva finner du her?

1. Hjelp med konkrete sikkerhetsoppgaver ✅

Det du trenger i det daglige. For eksempel:

2. Informasjon om det du kanskje ikke har hørt om 💭

På siden «Sikker utvikling i NAV IT» finner du en oversikt over temaer som burde være interessante for alle produktteam. Det anbefales å titte innom alle sammen, og spesielt hvis det er noe du ikke har hørt om før!

3. Fellesskap 💖

Det arrangeres jevnlige samlinger, kurs, og foredrag. Målet er å bli kjent for å lettere lære av hverandre og bygge Norges beste og hyggeligste sikkerhetsmiljø!

Forslag, kommentarer, eller feil?

Hjelp til med å gjøre playbooken enda bedre for neste besøkende! 🥰

Innholdet i playbooken er drevet av deg! Vi oppfordrer sterkt til å komme med forbedringer selv i GitHub-repoet, men det går ellers an å si ifra i #security-champion-kanalen, eller ta direkte kontakt med oss i redaksjonen.

Tips!

Hver side har en lenke direkte til kildekoden på GitHub. Trykk på «Rediger denne siden» nederst.


alt-text

Hvor går grensen?

Det kan være vanskelig å trekke grensen mellom plattformen og min app. Hva har vi som produktteam ansvar for, og hva tar plattformen seg av?

Plattformens ansvarsområde

I grove trekk kan ansvarsforholdet beskrives slik: Plattformen (NAIS) tilbyr et kjøretidsmiljø for applikasjonene i tillegg til noen støttetjenester som de fleste trenger. Eksempler på slike støttetjenester er innsamling og indeksering av logger og metrikker, samt provisjonering av databaser og Kafka-topics. Plattformen besørger også det som trengs av nettverksressurser (ruting, lastbalansering, brannmurer mm.) for å rute trafikk fram til din app. For «on-prem» betyr dette oppsett og drift av fysiske bokser i våre egne datasentre, mens i skya betyr dette å konfigurere opp de samme typene ressurser hos leverandøren. Plattform-teamet har også laget noen tjenester som forenkler ting som deploy og autentisering og autorisering av brukere. Se NAIS-dokumentasjonen for en oversikt.

Produktteamenes ansvarsområde

Produktteamenes ansvar starter i det en forespørsel når deres applikasjon. De må selv sørge for at sikkerheten i sine applikasjoner er i henhold til det som forventes av NAV, både fra myndighetene og våre brukere. Vi i NAV forvalter store mengder penger og sensitiv informasjon, og setter derfor ekstra høye krav til oss selv med tanke på sikkerhet. Alle applikasjoner skal bygges i henhold til prinsippene om «zero trust».

Teamene bør søke å ha oversikt over og kontinuerlig fokus på å avverge de vanligste truslene mot sine applikasjoner. Den vanligste oversikten å støtte seg på er OWASP Top 10. Når man releaser software hyppig er det ekstra viktig at man har kontinuerlig fokus på sikkerhet og ikke tenker det er «noe man kan legge til etterpå».

I de neste delene av denne playbooken vil vi gå gjennom noen teknikker og metoder som kan benyttes til dette.