Ajánlott fejlesztési eljárások biztonságossá tételéhez az Azure-ban
Ez a cikksorozat olyan biztonsági tevékenységeket és vezérlőket mutat be, amelyeket figyelembe kell venni a felhőbeli alkalmazások fejlesztésekor. A Microsoft biztonsági fejlesztési életciklusának (SDL) fázisait, valamint az életciklus egyes fázisai során megfontolandó biztonsági kérdéseket és fogalmakat ismertetik. A cél az, hogy segítsen meghatározni az életciklus minden fázisában használható tevékenységeket és Azure-szolgáltatásokat egy biztonságosabb alkalmazás tervezéséhez, fejlesztéséhez és üzembe helyezéséhez.
A cikkekben szereplő javaslatok az Azure biztonságával kapcsolatos tapasztalatainkból és az ügyfeleink tapasztalataiból származnak. Ezeket a cikkeket referenciaként használhatja arra vonatkozóan, hogy mit érdemes figyelembe vennie a fejlesztési projekt egy adott szakaszában, de javasoljuk, hogy az elejétől a végéig legalább egyszer olvassa végig az összes cikket. Az összes cikk elolvasása olyan fogalmakat mutat be, amelyeket esetleg kihagyott a projekt korábbi szakaszaiban. Ezeknek a fogalmaknak a termék kiadása előtt történő implementálása segíthet a biztonságos szoftverek fejlesztésében, a biztonsági megfelelőségi követelmények kezelésében és a fejlesztési költségek csökkentésében.
Ezek a cikkek olyan szoftvertervezők, fejlesztők és tesztelők számára készültek, akik biztonságos Azure-alkalmazásokat fejlesztenek és helyeznek üzembe.
Áttekintés
A biztonság az alkalmazások egyik legfontosabb aspektusa, és nem egyszerű a helyes használat. Szerencsére az Azure számos olyan szolgáltatást biztosít, amelyek segíthetnek az alkalmazás felhőben való védelmében. Ezek a cikkek a szoftverfejlesztési életciklus minden szakaszában megvalósítható tevékenységekkel és Azure-szolgáltatásokkal foglalkoznak, hogy biztonságosabb kódokat fejlesszenek ki, és biztonságosabb alkalmazásokat helyezzenek üzembe a felhőben.
Biztonságos fejlesztési életciklus
A biztonságos szoftverfejlesztés ajánlott eljárásainak követéséhez a szoftverfejlesztési életciklus minden fázisába integrálni kell a biztonságot, a követelményelemzéstől a karbantartásig, függetlenül a projekt módszertanától (vízesés, agilis vagy DevOps). A magas szintű adatsértések és az üzemeltetési biztonsági hibák kihasználása miatt több fejlesztő tisztában van azzal, hogy a biztonsági problémákat a fejlesztési folyamat során kezelni kell.
Minél később kijavít egy problémát a fejlesztési életciklusában, annál több költséggel kell számolnia. A biztonsági problémák nem kivételek. Ha figyelmen kívül hagyja a szoftverfejlesztés korai fázisaiban felmerülő biztonsági problémákat, az azt követő fázisok örökölhetik az előző fázis biztonsági réseit. A végső termék több biztonsági problémát és a szabálysértés lehetőségét is felhalmozja. A fejlesztési életciklus minden fázisában a biztonság kialakítása segít a problémák korai észlelésében, és segít csökkenteni a fejlesztési költségeket.
A Microsoft Security Development Lifecycle (SDL) fázisait követve olyan tevékenységeket és Azure-szolgáltatásokat vezetünk be, amelyekkel biztonságos szoftverfejlesztési eljárásokat valósíthat meg az életciklus minden fázisában.
Az SDL-fázisok a következők:
Ezekben a cikkekben az SDL-fázisokat tervezésre, fejlesztésre és üzembe helyezésre csoportosítjuk.
A szervezet biztonsági csapatának bevonása
Előfordulhat, hogy a szervezet rendelkezik egy hivatalos alkalmazásbiztonsági programmal, amely a fejlesztési életciklus során az elejétől a végéig segíti a biztonsági tevékenységeket. Ha a szervezet biztonsági és megfelelőségi csapatokkal rendelkezik, mindenképpen vegye fel velük a kapcsolatot, mielőtt elkezdené az alkalmazás fejlesztését. Kérdezze meg őket az SDL minden fázisában, hogy vannak-e kihagyott tevékenységek.
Tisztában vagyunk azzal, hogy sok olvasó nem biztos, hogy rendelkezik biztonsági vagy megfelelőségi csapattal. Ezek a cikkek segítséget nyújtanak az SDL minden fázisában megfontolandó biztonsági kérdésekben és döntésekben.
Források
Az alábbi forrásanyagok segítségével többet tudhat meg a biztonságos alkalmazások fejlesztéséről és az alkalmazások azure-beli védelméről:
Microsoft Security Development Lifecycle (SDL) – Az SDL a Microsoft szoftverfejlesztési folyamata, amely segít a fejlesztőknek biztonságosabb szoftverek létrehozásában. Segít kezelni a biztonsági megfelelőségi követelményeket, miközben csökkenti a fejlesztési költségeket.
Open Worldwide Application Security Project (OWASP) – Az OWASP egy online közösség, amely szabadon elérhető cikkeket, módszertanokat, dokumentációt, eszközöket és technológiákat hoz létre a webalkalmazás-biztonság területén.
Leküldés balra, mint egy főnök – Online cikkek sorozata, amelyek különböző alkalmazásbiztonsági tevékenységeket vázolnak fel, amelyeket a fejlesztőknek végre kell hajtaniuk a biztonságosabb kód létrehozásához.
Microsoft Identitásplatform – A Microsoft Identitásplatform a Microsoft Entra identitásszolgáltatás és fejlesztői platform fejlődése. Ez egy teljes funkcionalitású platform, amely egy hitelesítési szolgáltatásból, nyílt forráskódú kódtárakból, alkalmazásregisztrációból és konfigurációból, teljes fejlesztői dokumentációból, kódmintákból és egyéb fejlesztői tartalmakból áll. A Microsoft Identitásplatform olyan iparági szabványoknak megfelelő protokollokat támogat, mint az OAuth 2.0 és az OpenID Csatlakozás.
Az Azure biztonsági ajánlott eljárásai és mintái – A felhőmegoldások Azure-beli tervezése, üzembe helyezése és kezelése során használható ajánlott biztonsági eljárások gyűjteménye. Az útmutató az informatikai szakemberek erőforrása. Ilyenek lehetnek a biztonságos Azure-megoldások készítését és üzembe helyezését végző tervezők, tervezők, fejlesztők és tesztelők.
Biztonsági és megfelelőségi tervek az Azure-ban – Az Azure Security and Compliance Blueprints olyan erőforrások, amelyek segíthetnek olyan felhőalapú alkalmazások létrehozásában és elindításában, amelyek megfelelnek a szigorú előírásoknak és szabványoknak.
Következő lépések
Az alábbi cikkekben olyan biztonsági vezérlőket és tevékenységeket ajánlunk, amelyek segíthetnek biztonságos alkalmazások tervezésében, fejlesztésében és üzembe helyezésében.