Procedure consigliate per lo sviluppo sicuro in AzureSecure development best practices on Azure

Questa serie di articoli presenta le attività e i controlli di sicurezza da prendere in considerazione quando si sviluppano applicazioni per il cloud.This series of articles presents security activities and controls to consider when you develop applications for the cloud. Vengono analizzate le fasi di Microsoft Security Development Lifecycle (SDL) e le domande e i concetti di sicurezza da considerare durante ogni fase del ciclo di vita.The phases of the Microsoft Security Development Lifecycle (SDL) and security questions and concepts to consider during each phase of the lifecycle are covered. L'obiettivo è consentire di definire le attività e i servizi di Azure che è possibile usare in ogni fase del ciclo di vita per progettare, sviluppare e distribuire un'applicazione più protetta.The goal is to help you define activities and Azure services that you can use in each phase of the lifecycle to design, develop, and deploy a more secure application.

I consigli negli articoli provengono dalla nostra esperienza con la sicurezza di Azure e dalle esperienze dei nostri clienti.The recommendations in the articles come from our experience with Azure security and from the experiences of our customers. È possibile usare questi articoli come riferimento per gli elementi da prendere in considerazione durante una fase specifica del progetto di sviluppo, ma è consigliabile leggere anche tutti gli articoli dall'inizio alla fine almeno una volta.You can use these articles as a reference for what you should consider during a specific phase of your development project, but we suggest that you also read through all of the articles from beginning to end at least once. La lettura di tutti gli articoli presenta i concetti che potrebbero mancare nelle fasi precedenti del progetto.Reading all articles introduces you to concepts that you might have missed in earlier phases of your project. L'implementazione di questi concetti prima di rilasciare il prodotto può essere utile per creare software protetto, soddisfare i requisiti di conformità della sicurezza e ridurre i costi di sviluppo.Implementing these concepts before you release your product can help you build secure software, address security compliance requirements, and reduce development costs.

Questi articoli sono destinati a essere una risorsa per progettisti, sviluppatori e tester di software a tutti i livelli che compilano e distribuiscono applicazioni Azure sicure.These articles are intended to be a resource for software designers, developers, and testers at all levels who build and deploy secure Azure applications.

PanoramicaOverview

La sicurezza è uno degli aspetti più importanti di tutte le applicazioni e non è un'operazione semplice da ottenere correttamente.Security is one of the most important aspects of any application, and it’s not a simple thing to get right. Fortunatamente, Azure offre molti servizi che consentono di proteggere l'applicazione nel cloud.Fortunately, Azure provides many services that can help you secure your application in the cloud. Questi articoli indirizzano le attività e i servizi di Azure che è possibile implementare in ogni fase del ciclo di vita di sviluppo del software per facilitare lo sviluppo di codice più sicuro e la distribuzione di un'applicazione più sicura nel cloud.These articles address activities and Azure services you can implement at each stage of your software development lifecycle to help you develop more secure code and deploy a more secure application in the cloud.

Ciclo di vita dello sviluppo della sicurezzaSecurity development lifecycle

Le seguenti procedure consigliate per lo sviluppo di software sicuro richiedono l'integrazione della sicurezza in ogni fase del ciclo di vita dello sviluppo del software, dall'analisi dei requisiti alla manutenzione, indipendentemente dalla metodologia del progetto (waterfall, agile o DevOps).Following best practices for secure software development requires integrating security into each phase of the software development lifecycle, from requirement analysis to maintenance, regardless of the project methodology (waterfall, agile, or DevOps). In seguito alle violazioni dei dati di alto profilo e all'exploit dei difetti di sicurezza operativa, più sviluppatori sono in grado di comprendere che la sicurezza deve essere risolta durante tutto il processo di sviluppo.In the wake of high-profile data breaches and the exploitation of operational security flaws, more developers are understanding that security needs to be addressed throughout the development process.

Più avanti si corregge un problema nel ciclo di vita di sviluppo, maggiore sarà il costo della correzione.The later you fix a problem in your development lifecycle, the more that fix will cost you. I problemi di sicurezza non fanno eccezione.Security issues are no exception. Se si ignorano i problemi di sicurezza nelle fasi iniziali dello sviluppo del software, ogni fase che segue potrebbe ereditare le vulnerabilità della fase precedente.If you disregard security issues in the early phases of your software development, each phase that follows might inherit the vulnerabilities of the preceding phase. Il prodotto finale avrà accumulato più problemi di sicurezza e la possibilità di una violazione.Your final product will have accumulated multiple security issues and the possibility of a breach. La creazione di sicurezza in ogni fase del ciclo di vita dello sviluppo consente di rilevare tempestivamente i problemi e di ridurre i costi di sviluppo.Building security into each phase of the development lifecycle helps you catch issues early, and it helps you reduce your development costs.

Seguiamo le fasi di Microsoft Security Development Lifecycle (SDL) per introdurre le attività e i servizi di Azure che puoi usare per soddisfare le procedure di sviluppo software sicure in ogni fase del ciclo di vita.We follow the phases of the Microsoft Security Development Lifecycle (SDL) to introduce activities and Azure services that you can use to fulfill secure software development practices in each phase of the lifecycle.

Le fasi SDL sono:The SDL phases are:

  • FormazioneTraining
  • RequisitiRequirements
  • ProgettazioneDesign
  • ImplementazioneImplementation
  • VerificaVerification
  • ReleaseRelease
  • RispostaResponse

Ciclo di vita dello sviluppo della sicurezza

In questi articoli vengono raggruppate le fasi SDL per la progettazione, lo sviluppo e la distribuzione.In these articles we group the SDL phases into design, develop, and deploy.

Coinvolgere il team di sicurezza dell'organizzazioneEngage your organization’s security team

È possibile che l'organizzazione disponga di un programma formale per la sicurezza delle applicazioni che assiste le attività di sicurezza dall'inizio alla fine durante il ciclo di vita dello sviluppo.Your organization might have a formal application security program that assists you with security activities from start to finish during the development lifecycle. Se l'organizzazione dispone di team di sicurezza e conformità, assicurarsi di coinvolgerli prima di iniziare a sviluppare l'applicazione.If your organization has security and compliance teams, be sure to engage them before you begin developing your application. Chiedere a ogni fase del processo SDL se sono presenti attività mancanti.Ask them at each phase of the SDL whether there are any tasks you missed.

È chiaro che molti lettori potrebbero non avere un team di sicurezza o conformità per impegnarsi.We understand that many readers might not have a security or compliance team to engage. Questi articoli possono essere utili per le domande e le decisioni di sicurezza da prendere in considerazione in ogni fase del processo SDL.These articles can help guide you in the security questions and decisions you need to consider at each phase of the SDL.

RisorseResources

Usare le risorse seguenti per altre informazioni sullo sviluppo di applicazioni protette e per proteggere le applicazioni in Azure:Use the following resources to learn more about developing secure applications and to help secure your applications on Azure:

Microsoft Security Development Lifecycle (SDL) : SDL è un processo di sviluppo software di Microsoft che consente agli sviluppatori di creare software più sicuro.Microsoft Security Development Lifecycle (SDL) – The SDL is a software development process from Microsoft that helps developers build more secure software. Consente di soddisfare i requisiti di conformità della sicurezza riducendo al tempo stesso i costi di sviluppo.It helps you address security compliance requirements while reducing development costs.

Open Web Application Security Project (OWASP) : OWASP è una community online che produce articoli, metodologie, documentazione, strumenti e tecnologie disponibili gratuitamente nel settore della sicurezza delle applicazioni Web.Open Web Application Security Project (OWASP) – OWASP is an online community that produces freely available articles, methodologies, documentation, tools, and technologies in the field of web application security.

A sinistra, come un capo, una serie di articoli online che delineano diversi tipi di attività di sicurezza dell'applicazione che gli sviluppatori devono completare per creare codice più sicuro.Pushing Left, Like a Boss – A series of online articles that outlines different types of application security activities that developers should complete to create more secure code.

Piattaforma di identità Microsoft: la piattaforma di identità Microsoft è un'evoluzione del servizio di identità Azure ad e della piattaforma per sviluppatori.Microsoft identity platform – The Microsoft identity platform is an evolution of the Azure AD identity service and developer platform. Si tratta di una piattaforma con funzionalità complete costituita da un servizio di autenticazione, librerie open source, registrazione e configurazione dell'applicazione, documentazione completa per gli sviluppatori, esempi di codice e altri contenuti per gli sviluppatori.It’s a full-featured platform that consists of an authentication service, open-source libraries, application registration and configuration, full developer documentation, code samples, and other developer content. La piattaforma Microsoft Identity supporta protocolli standard di settore come OAuth 2,0 e OpenID Connect.The Microsoft identity platform supports industry-standard protocols like OAuth 2.0 and OpenID Connect.

Procedure di sicurezza consigliate per le soluzioni di Azure : una raccolta di procedure consigliate per la sicurezza da usare per la progettazione, la distribuzione e la gestione di soluzioni cloud con Azure.Security best practices for Azure solutions – A collection of security best practices to use when you design, deploy, and manage cloud solutions by using Azure. Questo documento è destinato a essere una risorsa per i professionisti IT.This paper is intended to be a resource for IT pros. Potrebbe trattarsi di designer, architetti, sviluppatori e tester che creano e distribuiscono soluzioni sicure per Azure.This might include designers, architects, developers, and testers who build and deploy secure Azure solutions.

Progetti di sicurezza e conformità in Azure : i progetti di sicurezza e conformità di Azure sono risorse che consentono di creare e avviare applicazioni basate sul cloud conformi a normative e standard rigorosi.Security and Compliance Blueprints on Azure – Azure Security and Compliance Blueprints are resources that can help you build and launch cloud-powered applications that comply with stringent regulations and standards.

Passaggi successiviNext steps

Negli articoli seguenti si consigliano i controlli di sicurezza e le attività che consentono di progettare, sviluppare e distribuire applicazioni protette.In the following articles, we recommend security controls and activities that can help you design, develop, and deploy secure applications.