Introdução ao desenvolvimento e operação de segurança dos Serviços Online da Microsoft

  • 5 minutos

O SDL (Security Development Lifecycle) da Microsoft é um processo de garantia de segurança focado no desenvolvimento e operação de software seguro. O SDL fornece requisitos de segurança detalhados e mensuráveis para desenvolvedores e engenheiros da Microsoft reduzirem o número e a gravidade das vulnerabilidades em nossos produtos e serviços. Todos os Serviços Do Microsoft Online devem seguir os requisitos de SDL e atualizamos continuamente o SDL para refletir o cenário de ameaças em mudança, as melhores práticas do setor e os padrões regulatórios para conformidade.

Fases do SDL da Microsoft

A Microsoft criou práticas de SDL no modelo DevOps para garantir que a segurança e a privacidade permaneçam um foco principal de nossos produtos e serviços. Para proteger os clientes e os dados dos Serviços Online da Microsoft, todo o desenvolvimento na Microsoft ocorre em ambientes de desenvolvimento completamente separados dos ambientes de produção sem acesso aos locatários do cliente. Além disso, o acesso aos ambientes de produção é limitado aos engenheiros que operam os serviços, e esses ambientes são separados da rede corporativa da Microsoft.

Um fluxo de processo de SDL começando com treinamento, requisitos, design, implementação, verificação, versão e resposta.

O processo de SDL na Microsoft pode ser pensado em termos de cinco fases de desenvolvimento:

  1. Requisitos: Segurança, privacidade e requisitos funcionais são definidos, servindo como a base na qual o serviço é projetado.
  2. Design: a arquitetura de serviço foi projetada para atender aos requisitos definidos e modelos de ameaça são criados para ajudar a identificar, categorizar e classificar possíveis ameaças.
  3. Implementação: o código é escrito seguindo as especificações de design definidas usando ferramentas de desenvolvimento seguras aprovadas.
  4. Verificação: o código de serviço é revisado automaticamente e manualmente para garantir que ele atenda aos requisitos definidos e esteja livre de erros de codificação e falhas de segurança.
  5. Versão: o build aprovado é implantado gradualmente usando um processo de implantação seguro, começando com ambientes de teste internos e terminando com o escopo de produção completo.

Além das cinco fases de desenvolvimento principais descritas acima, há duas atividades de segurança relacionadas que dão suporte ao SDL. Os funcionários da Microsoft que desenvolvem nossos produtos e serviços são necessários para concluir o treinamento orientado à segurança para entender o SDL e cultivar uma mentalidade defensiva. Após a versão, novos serviços de produção são monitorados por meio dos processos de monitoramento de segurança e gerenciamento de vulnerabilidades da Microsoft para garantir que sua postura de segurança seja mantida e a Microsoft possa responder a possíveis ameaças ao longo de seu ciclo de vida.

Nas unidades a seguir, exploraremos como a Microsoft implementa os requisitos de SDL:

  • Exigir treinamento para conscientização de segurança e práticas de desenvolvimento seguras.
  • Definir requisitos de segurança e privacidade, manter modelos de ameaça atualizados e exigir revisão manual de código.
  • Executar ferramentas SDL automaticamente para detectar problemas de segurança no código como parte do processo de build.
  • Impor e testar requisitos de segurança operacional para manter as práticas recomendadas de segurança.
  • Executar revisões de segurança e privacidade antes do lançamento.
  • Usar a CG (Governança de Componentes) para gerenciar software livre.

Saiba mais