Procedimientos recomendados para un desarrollo seguro en AzureSecure development best practices on Azure

En esta serie de artículos se presentan las actividades y controles de seguridad que hay que tener en cuenta al desarrollar aplicaciones para la nube.This series of articles presents security activities and controls to consider when you develop applications for the cloud. Se abarcan las fases del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft así como conceptos y preguntas de seguridad que se han de tener en cuenta durante cada fase del ciclo de vida.The phases of the Microsoft Security Development Lifecycle (SDL) and security questions and concepts to consider during each phase of the lifecycle are covered. El objetivo es ayudarle a definir actividades y servicios de Azure que pueden usarse en cada fase del ciclo de vida para diseñar, desarrollar e implementar una aplicación más segura.The goal is to help you define activities and Azure services that you can use in each phase of the lifecycle to design, develop, and deploy a more secure application.

Las recomendaciones de este artículo proceden de nuestra experiencia con la seguridad de Azure y de las experiencias de nuestros clientes.The recommendations in the articles come from our experience with Azure security and from the experiences of our customers. Puede usar estos artículos como referencia sobre lo que ha de tener presente durante una fase específica del proyecto de desarrollo, pero también se recomienda leer todos los artículos de principio a fin por lo menos una vez.You can use these articles as a reference for what you should consider during a specific phase of your development project, but we suggest that you also read through all of the articles from beginning to end at least once. La lectura de todos los artículos le presentará conceptos que podría haber omitido en fases anteriores del proyecto.Reading all articles introduces you to concepts that you might have missed in earlier phases of your project. La implementación de estos conceptos antes de lanzar el producto puede ayudarle a compilar software seguro, abordar los requisitos de cumplimiento de seguridad y reducir los costos de desarrollo.Implementing these concepts before you release your product can help you build secure software, address security compliance requirements, and reduce development costs.

Estos artículos se proponen ser un recurso para diseñadores, desarrolladores y evaluadores de software de cualquier nivel que compilan e implementan soluciones seguras de Azure.These articles are intended to be a resource for software designers, developers, and testers at all levels who build and deploy secure Azure applications.

Información generalOverview

La seguridad es uno de los aspectos más importantes de cualquier aplicación, y no es algo fácil de conseguir.Security is one of the most important aspects of any application, and it’s not a simple thing to get right. Afortunadamente, Azure ofrece muchos servicios que pueden ayudarle a proteger su aplicación en la nube.Fortunately, Azure provides many services that can help you secure your application in the cloud. En estos artículos se abordan actividades y servicios de Azure que pueden implementarse en cada etapa del ciclo de vida de desarrollo de software que ayudan a desarrollar un código más seguro e implementar una aplicación más segura en la nube.These articles address activities and Azure services you can implement at each stage of your software development lifecycle to help you develop more secure code and deploy a more secure application in the cloud.

Ciclo de vida de desarrollo de seguridadSecurity development lifecycle

El seguimiento de procedimientos recomendados para el desarrollo de software seguro requiere la integración de seguridad en cada fase del ciclo de vida de desarrollo de software, del análisis de requisitos al mantenimiento, independientemente de la metodología de proyecto (cascada, ágil o DevOps).Following best practices for secure software development requires integrating security into each phase of the software development lifecycle, from requirement analysis to maintenance, regardless of the project methodology (waterfall, agile, or DevOps). Como resultado de infracciones de datos de alto perfil y el aprovechamiento de brechas de seguridad operativa, cada vez más desarrolladores comprenden que la seguridad se debe abordar a lo largo de todo el proceso de desarrollo.In the wake of high-profile data breaches and the exploitation of operational security flaws, more developers are understanding that security needs to be addressed throughout the development process.

Cuanto más tarde corrija un problema en su ciclo de vida de desarrollo, más le costará la corrección.The later you fix a problem in your development lifecycle, the more that fix will cost you. Los problemas de seguridad no son una excepción.Security issues are no exception. Si pasa por alto los problemas de seguridad en las primeras fases del desarrollo de software, es posible que cada una de las fases siguientes herede las vulnerabilidades de la fase anterior.If you disregard security issues in the early phases of your software development, each phase that follows might inherit the vulnerabilities of the preceding phase. El producto final habrá acumulado varios problemas de seguridad y una posible infracción de seguridad.Your final product will have accumulated multiple security issues and the possibility of a breach. La incorporación de seguridad en cada fase del ciclo de vida de desarrollo le ayuda a detectar problemas antes y a reducir los costos de desarrollo.Building security into each phase of the development lifecycle helps you catch issues early, and it helps you reduce your development costs.

Seguimos las fases del ciclo de vida de desarrollo de seguridad (SDL) de Microsoft para introducir actividades y servicios de Azure que pueden usarse para cumplir las prácticas de desarrollo de software seguro en cada fase del ciclo de vida.We follow the phases of the Microsoft Security Development Lifecycle (SDL) to introduce activities and Azure services that you can use to fulfill secure software development practices in each phase of the lifecycle.

Las fases del SDL son:The SDL phases are:

  • CursosTraining
  • RequisitosRequirements
  • DiseñoDesign
  • ImplementaciónImplementation
  • ComprobaciónVerification
  • ReleaseRelease
  • ResponseResponse

Ciclo de vida de desarrollo de seguridad

En estos artículos se agrupan las fases del SDL por diseño, desarrollo e implementación.In these articles we group the SDL phases into design, develop, and deploy.

Interacción con el equipo de seguridad de la organizaciónEngage your organization’s security team

Es posible que la organización tenga un programa formal de seguridad de aplicaciones que le ayude con las actividades de seguridad de principio a fin durante el ciclo de vida de desarrollo.Your organization might have a formal application security program that assists you with security activities from start to finish during the development lifecycle. Si la organización tiene equipos de cumplimiento y seguridad, asegúrese de interactuar con ellos antes de empezar a desarrollar la aplicación.If your organization has security and compliance teams, be sure to engage them before you begin developing your application. Pregúnteles en cada fase del SDL si ha omitido alguna tarea.Ask them at each phase of the SDL whether there are any tasks you missed.

Entendemos que es posible que muchos de los lectores no tengan un equipo de seguridad o de cumplimiento con el que interactuar.We understand that many readers might not have a security or compliance team to engage. Estos artículos pueden guiarle en las preguntas y decisiones de seguridad que debe tener en cuenta en cada fase del SDL.These articles can help guide you in the security questions and decisions you need to consider at each phase of the SDL.

RecursosResources

Utilice los siguientes recursos para obtener más información sobre el desarrollo de aplicaciones seguras y como ayuda para proteger sus aplicaciones en Azure:Use the following resources to learn more about developing secure applications and to help secure your applications on Azure:

Ciclo de vida de desarrollo de seguridad (SDL): el SDL es un proceso de desarrollo de software de Microsoft que ayuda a los desarrolladores a compilar software más seguro.Microsoft Security Development Lifecycle (SDL) – The SDL is a software development process from Microsoft that helps developers build more secure software. Le ayuda a abordar requisitos de cumplimiento de seguridad al tiempo que reduce los costos de desarrollo.It helps you address security compliance requirements while reducing development costs.

Open Web Application Security Project (OWASP): OWASP es una comunidad en línea que produce artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el ámbito de seguridad de aplicaciones web.Open Web Application Security Project (OWASP) – OWASP is an online community that produces freely available articles, methodologies, documentation, tools, and technologies in the field of web application security.

Pushing Left, Like a Boss: serie de artículos en línea donde se describen los distintos tipos de actividades de seguridad de aplicaciones que los desarrolladores deben seguir para crear código más seguro.Pushing Left, Like a Boss – A series of online articles that outlines different types of application security activities that developers should complete to create more secure code.

Plataforma de identidad de Microsoft esta plataforma es una evolución de la plataforma de desarrolladores y de servicio de identidad de Azure AD.Microsoft identity platform – The Microsoft identity platform is an evolution of the Azure AD identity service and developer platform. Se trata de una plataforma completa que consiste en un servicio de autenticación, bibliotecas de código abierto, registro y configuración de aplicaciones, documentación completa para desarrolladores, ejemplos de código y otro contenido para desarrolladores.It’s a full-featured platform that consists of an authentication service, open-source libraries, application registration and configuration, full developer documentation, code samples, and other developer content. La plataforma de identidad de Microsoft admite protocolos estándar del sector tales como OAuth 2.0 y OpenID Connect.The Microsoft identity platform supports industry-standard protocols like OAuth 2.0 and OpenID Connect.

Security best practices for Azure solutions (Procedimientos recomendados de seguridad para soluciones de Azure): colección de procedimientos recomendados de seguridad que se pueden usar al diseñar, implementar y administrar soluciones en la nube mediante Azure.Security best practices for Azure solutions – A collection of security best practices to use when you design, deploy, and manage cloud solutions by using Azure. Este documento se propone ser un recurso para profesionales de TI.This paper is intended to be a resource for IT pros. Aquí podrían caber diseñadores, arquitectos, desarrolladores y evaluadores que compilen e implementen soluciones seguras de Azure.This might include designers, architects, developers, and testers who build and deploy secure Azure solutions.

Planos técnicos de seguridad y cumplimiento en Azure: estos planos técnicos son recursos que pueden ayudarle a compilar y lanzar aplicaciones basadas en la nube que cumplan los estándares y reglamentaciones más exigentes.Security and Compliance Blueprints on Azure – Azure Security and Compliance Blueprints are resources that can help you build and launch cloud-powered applications that comply with stringent regulations and standards.

Pasos siguientesNext steps

En los siguientes artículos, se recomiendan controles de seguridad y actividades que pueden ayudarle a diseñar, desarrollar e implementar aplicaciones seguras.In the following articles, we recommend security controls and activities that can help you design, develop, and deploy secure applications.