Sichere Entwicklung in Azure – bewährte Methoden
In diese Artikelreihe werden Sicherheitsaktivitäten und -kontrollen vorgestellt, die Sie berücksichtigen sollten, wenn Sie Anwendungen für die Cloud entwickeln. Es werden die Phasen des Microsoft Security Development Lifecycle (SDL) sowie Sicherheitsfragen und -konzepte behandelt, die in jeder Phase des Lebenszyklus zu berücksichtigen sind. Das Ziel ist, Ihnen dabei zu helfen, Aktivitäten und Azure-Dienste zu definieren, die Sie in jeder Phase des Lebenszyklus verwenden können, um eine sicherere Anwendung zu entwerfen, zu entwickeln und bereitzustellen.
Die Empfehlungen in den Artikeln lassen sich auf unsere Erfahrungen mit der Sicherheit in Azure und die Erfahrungen unserer Kunden zurückführen. Sie können diese Artikel als Referenz für die Punkte verwenden, die Sie in einer bestimmten Phase Ihres Entwicklungsprojekts berücksichtigen sollten, aber es empfiehlt sich, dass Sie jeden Artikel mindestens einmal vollständig lesen. Beim Lesen aller Artikel werden Sie in Konzepte eingeführt, die Sie in früheren Phasen Ihres Projekts ggf. übersehen haben. Das Implementieren dieser Konzepte vor der Veröffentlichung Ihres Produkts kann Ihnen helfen, sichere Software zu erstellen, Anforderungen an die Sicherheitskonformität zu erfüllen und die Entwicklungskosten zu senken.
Diese Artikel sind als Ressource für Softwaredesigner, -entwickler und -tester auf allen Stufen vorgesehen, die sichere Azure-Lösungen erstellen und bereitstellen.
Übersicht
Sicherheit ist einer der wichtigsten Aspekte jeder Anwendung, und es ist nicht einfach, alles richtig zu machen. Glücklicherweise stellt Azure viele Dienste bereit, die Ihnen dabei helfen können, Ihre Anwendung in der Cloud zu schützen. Diese Artikel befassen sich mit Aktivitäten und Azure-Diensten, die Sie in jeder Phase Ihres Softwareentwicklungslebenszyklus implementieren können, damit es Ihen möglich ist, sichereren Code zu entwickeln und eine sicherere Anwendung in der Cloud bereitzustellen.
Security Development Lifecycle
Die Einhaltung der bewährten Methoden für die Entwicklung von sicherer Software erfordert die Berücksichtigung von Sicherheit in jeder Phase des Lebenszyklus der Softwareentwicklung, von der Anforderungsanalyse bis zur Wartung, unabhängig von der Projektmethodik (Wasserfallmodell, Agile Softwareentwicklung oder DevOps). Im Zuge von schwerwiegenden Verletzungen der Datensicherheit und der Ausnutzung von betrieblichen Sicherheitslücken gelangen immer mehr Entwickler zu der Erkenntnis, dass die Sicherheit während des gesamten Entwicklungsprozesses berücksichtigt werden muss.
Je später Sie ein Problem in Ihrem Entwicklungslebenszyklus beheben, desto teurer wird diese Behebung. Sicherheitsprobleme sind da keine Ausnahme. Wenn Sie Sicherheitsprobleme in den frühen Phasen der Softwareentwicklung ignorieren, kann es sein, dass in jeder späteren Phase die Sicherheitsrisiken der jeweils vorhergehenden Phase übernommen werden. In Ihrem Endprodukt sammeln sich mehrere Sicherheitsprobleme an, und es besteht die Gefahr einer Sicherheitsverletzung. Die Einbeziehung von Sicherheit in jeder Phase des Entwicklungslebenszyklus hilft Ihnen, Probleme frühzeitig zu erkennen und Ihre Entwicklungskosten zu senken.
Wir folgen den Phasen des Microsoft Security Development Lifecycle (SDL), um Aktivitäten und Azure-Dienste vorzustellen, mit denen Sie in jeder Phase des Lebenszyklus Verfahren zur Entwicklung von sicherer Software einhalten können.
Die SDL-Phasen sind:
In diesen Artikeln sind die SDL-Phasen in Entwerfen, Entwickeln und Bereitstellen gruppiert.
Einbinden des Sicherheitsteams Ihrer Organisation
Möglicherweise verfügt Ihr Unternehmen über ein formales Anwendungssicherheitsprogramm, das Sie während des gesamten Entwicklungslebenszyklus bei Sicherheitsaktivitäten unterstützt. Wenn Ihre Organisation Sicherheits- und Compliance-Teams hat, sollten Sie diese einbeziehen, bevor Sie mit der Entwicklung Ihrer Anwendung beginnen. Fragen Sie die Teams in jeder Phase des SDL, ob es Aufgaben gibt, die Sie übersehen haben.
Uns ist bewusst, dass viele Leser möglicherweise kein Sicherheits- oder Compliance-Team haben, das einbezogen werden kann. Diese Artikel versetzen Sie in die Lage, sich mit den Sicherheitsfragen und -entscheidungen vertraut zu machen, die Sie in jeder Phase des SDL berücksichtigen müssen.
Ressourcen
Verwenden Sie die folgenden Ressourcen, um mehr über die Entwicklung sicherer Anwendungen zu erfahren und Informationen zu erhalten, wie Sie Ihre Anwendungen in Azure schützen können:
Microsoft Security Development Lifecycle (SDL): Der SDL ist ein Softwareentwicklungsprozess von Microsoft, der Entwicklern hilft, sicherere Software zu entwickeln. Es hilft Ihnen, die jeweiligen Sicherheitsanforderungen zu erfüllen und gleichzeitig die Entwicklungskosten zu senken.
Open Worldwide Application Security Project (OWASP): OWASP ist eine Onlinecommunity, von der frei verfügbare Artikel, Methoden, Dokumentationen, Tools und Technologien im Bereich Sicherheit von Webanwendungen erstellt werden.
Pushing Left, Like a Boss: Eine Reihe von Onlineartikeln, in denen verschiedene Arten von Anwendungssicherheitsaktivitäten beschrieben sind, die Entwickler ausführen sollten, um sichereren Code zu erstellen.
Microsoft Identity Platform: Microsoft Identity Platform ist eine Weiterentwicklung des Microsoft Entra-Identitätsdiensts und der zugehörigen Entwicklerplattform. Es handelt sich um eine Plattform mit vollem Funktionsumfang, die einen Authentifizierungsdienst, Open-Source-Bibliotheken, Anwendungsregistrierung und -konfiguration, eine vollständige Entwicklerdokumentation, Codebeispiele und andere Inhalte für Entwickler umfasst. Microsoft Identity Platform unterstützt die branchenüblichen Protokolle wie OAuth 2.0 und OpenID Connect.
Best Practices und Muster für die Sicherheit in Azure: Eine Sammlung von Best Practices für Sicherheit, die Sie verwenden sollten, wenn Sie Cloudlösungen in Azure entwerfen, bereitstellen und verwalten. Dieser Leitfaden ist als Ressource für IT-Expert*innen konzipiert. Dazu gehören beispielsweise Designer, Architekten, Entwickler und Tester, die sichere Azure-Lösungen erstellen und bereitstellen.
Blaupausen für Sicherheit und Compliance in Azure: Azure-Blaupausen für Sicherheit und Compliance sind Ressourcen, die die Entwicklung und Einführung von cloudbasierten Anwendungen, die strengen Vorschriften und Standards entsprechen, erleichtern.
Nächste Schritte
In den folgenden Artikeln empfehlen wir die Sicherheitskontrollen und -aktivitäten, die Ihnen beim Entwerfen, Entwickeln und Bereitstellen von sicheren Anwendungen helfen können.