안전한 클라우드 어플리케이션 개발 가이드 SDL - Security Development Lifecycle
안녕하세요. 김대우입니다.
이번에 소개해 드릴 내용은 SDL - Security Development Lifecycle 에 대한 내용입니다.예전, 울산 모사에 KTX타고 SDL 세미나 발표하러 갔던게 엇그제 같군요. 안전한 클라우드 어플리케이션 개발 가이드로 소개되고 있는 SDL을 보니 뿌듯합니다.
(발표자료 준비하느라 몇날 밤을 꼬박 세웠던지... ㅎㅎㅎ)
간단히, SDL은 특정 소프트웨어 벤더의 솔루션 개발을 위한 가이드가 아니라,
- SDL은 마이크로소프트의 보안 개발 방법에 대한 투명한 제공을 위해 제작된 보안 프로세스 입니다.
- 마이크로소프트 개발팀에서 SDL은 연간 교육을 통해 매우 정교하게 적용되고 있습니다.(실제로 마이크로소프트 R&D에서 개발에 적용되고 있습니다.)
- 하지만, 외부 3rd 파티 개발사가 제작한 코드나 직접 개발하지 않은 리소스가 존재해 코드 접근성이 떨어질 경우 그 효과는 달라질 수도 있습니다.
SDL 세미나 관련해 일반적으로 받았던 문의 내용은
- 모든 플랫폼과 개발 언어에서 적용 가능한 가이드 입니다.
- 모든 종류의 소프트웨어 개발 프로젝트에 적용 가능하며
- 폭포수 개발 방법론, 나선형 개발 방법론은 물론, 애자일 개발 방법론에서도 적용 가능합니다.
- 마이크로소프트는 물론, 다양한 개발 환경에서 사용 가능한 툴이 제공됩니다.
SDL 공식 웹사이트 :
https://www.microsoft.com/security/sdl/default.aspx
적용 후 ROI에 대한 내용은, SDL 공식 사이트 참고 하시길 바랍니다. 간략히, 스테이징 또는 배포 후 버그 처리에 대한 비용과 SDL로 버그나 보안 관련 처리 후 관계를 비교해 본다면 어렵지 않게 직접 ROI 계산도 되실겁니다.
그렇다면, SDL이 Windows Azure나 개발과 무슨 상관이 있는가?
어플리케이션 개발시 완성도 높은 솔루션 개발을 위해 SDL이 강력히 권고됩니다. 단순히 "동작하는" 어플리케이션이 아니라, 충분히 보안 안 검토가 이루어지고 안정성 높은 어플리케이션 개발을 위해 팀 개발을 하신다면 권장해 드리고 싶습니다.
감사합니다.
참고자료 :
Inside the Microsoft Security Development Lifecycle
SDL Process Template for Visual Studio Team System
Microsoft Security Development Lifecycle (SDL) and Software Security Today
MSDN TV - Security Development Lifecycle
The Security Development Lifecycle - MSDN Blogs
PS.
17페이지 분량의 SDL 관련 문서가 제공됩니다.
Simplified Implementation of the Microsoft SDL
본 내용은 제목처럼 "Simplified" 문서이며, 실제 마이크로소프트 R&D에서 사용하는 SDL과 내용에 차이가 있습니다.
참고자료 :
클라우드 보안 무엇이 이슈인가? - 클라우드와 보안 (1/3)
인프라 보안이 플랫폼 보안과 어플리케이션 보안으로 변화 - 클라우드와 보안 (2/3)
Azure가 제공하는 클라우드 서비스 보안 인프라 - 클라우드와 보안 (3/3)
Windows Azure 보안에 대한 소개 영상 - Windows Azure Security Overview
Windows Azure 보안 인증 - Azure Identity
Windows Azure 보안 기술백서 다운로드 / Security Best Practices for Developing Windows Azure Applications
안전한 클라우드 어플리케이션 개발 가이드 SDL - Security Development Lifecycle
Windows Azure Platform Security Essentials 시리즈 영상 소개
Azure - 클라우드 컴퓨팅 - 시리즈 강좌 리스트
[Azure강좌] 1. 클라우드와 원도우 애저 소개
[Azure강좌] 2. SDK 설치와 Azure 무료 신청
[Azure강좌] 3. ASP.NET(Web Role) Hello World
[Azure강좌] 4. 프로젝트 패키지 Azure 배포
[Azure강좌] 5. Windows Azure Storage 서비스와 계정 설정
[Azure강좌] 6. 테이블 서비스와 StorageClient 라이브러리 #1
[Azure강좌] 7. SQL Azure 소개와 서버 구성
[Azure강좌] 8. 데이터베이스 생성과 SSMS 사용
[Azure강좌] 9. SQL Azure 마이그레이션 위자드 사용하기
[Azure강좌] 10. SQL Azure 방화벽 설정
[Azure강좌] 11. SQL Azure Manage 툴 사용해 보기
[Azure강좌] 12. 테이블 서비스와 StorageClient 라이브러리 #2
[Azure강좌] 13. SQL Azure ASP.NET GridView 바인딩
[Azure강좌] 14. Blob 서비스와 Container
[Azure강좌] 15. Blob 리스트 조회, 업로드 다운로드 예제
[Azure강좌] 16. 웹사이트 콘텐트 Blob 스토리지 이용
[Azure강좌] 17. Windows Azure CDN 설정
[Azure강좌] 18. Queue 서비스와 생성, 삭제, 메타데이터 추가
[Azure강좌] 19. Queue 의 메시지 피킹 및 가져오기, 추가, 삭제
[Azure강좌] 20. [Tip] SQL Azure 방화벽 룰 설정 예제 애플리케이션
Azure - 클라우드 컴퓨팅 - 동영상 참고 자료
[Azure 동영상 강좌] 1. 클라우드와 원도우 애저 소개 (애저 포털 둘러보기)
[Azure 동영상 강좌] 2. SDK 설치와 Azure 무료 신청
[Azure 동영상 강좌] 3. ASP.NET(Web Role) Hello World
[Azure 동영상 강좌] 4. 프로젝트 패키지 Azure 배포
[Azure 동영상 강좌] 5. Windows Azure Storage 서비스와 계정 설정
[Azure 동영상 강좌] 6. 테이블 서비스와 StorageClient 라이브러리 #1
[Azure 동영상 강좌] 7. SQL Azure 소개와 서버 구성
[Azure 동영상 강좌] 8. 데이터베이스 생성과 SSMS 사용
[Azure 동영상 강좌] 9. SQL Azure 마이그레이션 위자드 사용하기
[Azure 동영상 강좌] 10. SQL Azure 방화벽 설정
[Azure 동영상 강좌] 11. SQL Azure Manage 툴 사용해 보기
[Azure 동영상 강좌] 12. 테이블 서비스와 StorageClient 라이브러리 #2
[Azure 동영상 강좌] 13. SQL Azure ASP.NET GridView 바인딩
[Azure 동영상 강좌] 14. Blob 서비스와 Container
[Azure 동영상 강좌] 15. Blob 리스트 조회, 업로드 다운로드 예제
[Azure 동영상 강좌] 16. 웹사이트 콘텐트 Blob 스토리지 이용
[Azure 동영상 강좌] 17. Windows Azure CDN 설정
[Azure 동영상 강좌] 18. Queue 서비스와 생성, 삭제, 메타데이터 추가
[Azure 동영상 강좌] 19. Queue 의 메시지 피킹 및 가져오기, 추가, 삭제
[Azure 동영상 강좌] 20. [Tip] SQL Azure 방화벽 룰 설정 예제 애플리케이션