Introduzione allo sviluppo e al funzionamento della sicurezza di Microsoft Online Services

  • 5 minuti

Microsoft Security Development Lifecycle (SDL) è un processo di garanzia di sicurezza incentrato sullo sviluppo e sul funzionamento di un software sicuro. SDL offre requisiti di sicurezza dettagliati e misurabili affinché sviluppatori e ingegneri di Microsoft possano ridurre il numero e la gravità delle vulnerabilità nei nostri prodotti e servizi. Tutti i servizi online Microsoft devono rispettare i requisiti SDL e microsoft aggiorna continuamente SDL in modo da riflettere il panorama delle minacce in continua evoluzione, le procedure consigliate del settore e gli standard normativi per la conformità.

Fasi di Microsoft SDL

Microsoft ha integrato le procedure SDL nel modello DevOps per garantire che la sicurezza e la privacy rimangano al centro dei nostri prodotti e servizi. Per proteggere i clienti e i dati di Microsoft Online Services, tutto lo sviluppo in Microsoft avviene in ambienti di sviluppo completamente separati dagli ambienti di produzione senza alcun accesso ai tenant dei clienti. Inoltre, l'accesso agli ambienti di produzione è riservato agli ingegneri che lavorano sui servizi e tali ambienti sono separati dalla rete aziendale Microsoft.

Il flusso del processo SDL consiste in formazione, requisiti, progettazione, implementazione, verifica, rilascio e risposta.

Il processo SDL di Microsoft può essere considerato in termini di cinque fasi di sviluppo:

  1. Requisiti: i requisiti di sicurezza, privacy e funzionalità sono definiti, che fungono da base su cui è progettato il servizio.
  2. Progettazione: l'architettura del servizio è progettata per soddisfare i requisiti definiti e vengono creati modelli di minaccia per identificare, classificare e valutare le potenziali minacce.
  3. Implementazione: il codice viene scritto seguendo le specifiche di progettazione definite usando strumenti di sviluppo sicuri approvati.
  4. Verifica: il codice del servizio viene esaminato automaticamente e manualmente per garantire che soddisfi i requisiti definiti ed è privo di errori di codifica e difetti di sicurezza.
  5. Versione: la compilazione approvata viene implementata gradualmente usando un processo di distribuzione sicura, a partire dagli ambienti di test interni e terminando con l'ambito di produzione completo.

Oltre alle cinque fasi di sviluppo principali descritte in precedenza, esistono due attività di sicurezza correlate che supportano SDL. Il personale Microsoft che sviluppa prodotti e servizi è tenuto a completare la formazione orientata alla sicurezza per comprendere SDL e coltivare una mentalità difensiva. Dopo il rilascio, i nuovi servizi di produzione vengono monitorati tramite il monitoraggio della sicurezza e i processi di gestione delle vulnerabilità di Microsoft per garantire che il comportamento di sicurezza venga mantenuto e Microsoft possa rispondere a potenziali minacce per tutto il ciclo di vita.

Nelle unità seguenti, vedremo come Microsoft implementa i requisiti SDL svolgendo queste operazioni:

  • Richiedendo una formazione in tema di consapevolezza sulla sicurezza e pratiche di sviluppo sicure.
  • Definendo requisiti di sicurezza e privacy, mantenendo modelli di minacce aggiornati e richiedendo la verifica manuale dei codici.
  • Eseguendo automaticamente strumenti SDL per rilevare problemi di sicurezza nel codice come parte del processo di compilazione.
  • Applicando e testando requisiti di sicurezza operativa per mantenere le best practice in tema di sicurezza.
  • Eseguendo verifiche di sicurezza e privacy prima del rilascio.
  • Utilizzando la governance dei componenti (CG) per gestire il software open source.

Ulteriori informazioni