Najlepsze rozwiązania dotyczące bezpiecznego programowania na platformie Azure
W tej serii artykułów przedstawiono działania i mechanizmy kontroli zabezpieczeń, które należy wziąć pod uwagę podczas tworzenia aplikacji dla chmury. Fazy cyklu projektowania zabezpieczeń firmy Microsoft (SDL) oraz pytania i pojęcia dotyczące zabezpieczeń, które należy wziąć pod uwagę w każdej fazie cyklu życia, są omówione. Celem jest ułatwienie definiowania działań i usług platformy Azure, których można używać w każdej fazie cyklu życia do projektowania, opracowywania i wdrażania bezpieczniejszej aplikacji.
Zalecenia w artykułach pochodzą z naszego doświadczenia w zakresie zabezpieczeń platformy Azure i środowisk naszych klientów. Możesz użyć tych artykułów jako odwołania do tego, co należy wziąć pod uwagę w konkretnej fazie projektu projektowego, ale sugerujemy, aby przeczytać również wszystkie artykuły od początku do końca co najmniej raz. Przeczytanie wszystkich artykułów zawiera wprowadzenie do pojęć, które mogły zostać pominięte we wcześniejszych fazach projektu. Zaimplementowanie tych pojęć przed wydaniem produktu może pomóc w tworzeniu bezpiecznego oprogramowania, spełnianiu wymagań dotyczących zgodności z zabezpieczeniami i zmniejszeniu kosztów programowania.
Te artykuły mają być zasobem dla projektantów oprogramowania, deweloperów i testerów na wszystkich poziomach, którzy tworzą i wdrażają bezpieczne aplikacje platformy Azure.
Omówienie
Zabezpieczenia są jednym z najważniejszych aspektów każdej aplikacji i nie jest to proste rozwiązanie. Na szczęście platforma Azure udostępnia wiele usług, które mogą pomóc w zabezpieczeniu aplikacji w chmurze. Te artykuły dotyczą działań i usług platformy Azure, które można zaimplementować na każdym etapie cyklu tworzenia oprogramowania, aby ułatwić opracowywanie bezpieczniejszego kodu i wdrażanie bezpieczniejszej aplikacji w chmurze.
Cykl projektowania zabezpieczeń
Zgodnie z najlepszymi rozwiązaniami dotyczącymi bezpiecznego tworzenia oprogramowania wymaga zintegrowania zabezpieczeń z każdym etapem cyklu życia tworzenia oprogramowania, od analizy wymagań po konserwację, niezależnie od metodologii projektu (kaskadowy, agile lub DevOps). W następstwie naruszeń danych o wysokim profilu i wykorzystywaniu luk w zabezpieczeniach operacyjnych więcej deweloperów rozumie, że zabezpieczenia muszą być rozwiązane w całym procesie programowania.
Później rozwiążesz problem w cyklu projektowania, tym bardziej naprawisz koszty. Problemy z zabezpieczeniami nie są wyjątkiem. Jeśli pomijasz problemy z zabezpieczeniami we wczesnych fazach tworzenia oprogramowania, każda z poniższych faz może dziedziczyć luki w zabezpieczeniach poprzedniej fazy. Końcowy produkt gromadzi wiele problemów z zabezpieczeniami i możliwość naruszenia zabezpieczeń. Tworzenie zabezpieczeń w każdej fazie cyklu projektowania pomaga wcześnie wychwytywać problemy i pomaga zmniejszyć koszty programowania.
Stosujemy fazy cyklu projektowania zabezpieczeń firmy Microsoft (SDL), aby wprowadzić działania i usługi platformy Azure, których można użyć do realizacji bezpiecznych praktyk tworzenia oprogramowania w każdej fazie cyklu życia.
Fazy SDL to:
W tych artykułach grupujemy fazy SDL na projektowanie, opracowywanie i wdrażanie.
Angażowanie zespołu ds. zabezpieczeń organizacji
Organizacja może mieć formalny program zabezpieczeń aplikacji, który pomaga w pracę zabezpieczeń od początku do końca w cyklu projektowania. Jeśli Twoja organizacja ma zespoły ds. zabezpieczeń i zgodności, przed rozpoczęciem tworzenia aplikacji skontaktuj się z nimi. Zapytaj ich na każdej fazie języka SDL, czy pominięto jakieś zadania.
Rozumiemy, że wielu czytelników może nie mieć zespołu ds. zabezpieczeń lub zgodności do zaangażowania. Te artykuły mogą pomóc w rozwiązywaniu pytań zabezpieczających i decyzji, które należy wziąć pod uwagę na każdej fazie procesu SDL.
Zasoby
Skorzystaj z następujących zasobów, aby dowiedzieć się więcej na temat tworzenia bezpiecznych aplikacji i zabezpieczania aplikacji na platformie Azure:
Microsoft Security Development Lifecycle (SDL) — SDL to proces tworzenia oprogramowania od firmy Microsoft, który pomaga deweloperom tworzyć bezpieczniejsze oprogramowanie. Pomaga to spełnić wymagania dotyczące zgodności z zabezpieczeniami przy jednoczesnym zmniejszeniu kosztów programowania.
Open Worldwide Application Security Project (OWASP) — OWASP to społeczność online, która tworzy bezpłatne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie zabezpieczeń aplikacji internetowych.
Platforma tożsamości Microsoft — Platforma tożsamości Microsoft to ewolucja platformy tożsamości Firmy Microsoft Entra i platformy deweloperów. Jest to w pełni funkcjonalna platforma, która składa się z usługi uwierzytelniania, bibliotek typu open source, rejestracji i konfiguracji aplikacji, pełnej dokumentacji deweloperów, przykładów kodu i innej zawartości dewelopera. Platforma tożsamości Microsoft obsługuje standardowe protokoły branżowe, takie jak OAuth 2.0 i OpenID Connect.
Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure — kolekcja najlepszych rozwiązań w zakresie zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure. Wskazówki mają być zasobami dla specjalistów IT. Może to obejmować projektantów, architektów, deweloperów i testerów, którzy tworzą i wdrażają bezpieczne rozwiązania platformy Azure.
Strategie zabezpieczeń i zgodności na platformie Azure — strategie zabezpieczeń i zgodności platformy Azure to zasoby, które mogą pomóc w tworzeniu i uruchamianiu aplikacji opartych na chmurze, które są zgodne z rygorystycznymi przepisami i standardami.
Następne kroki
W poniższych artykułach zalecamy mechanizmy kontroli zabezpieczeń i działania, które mogą ułatwić projektowanie, opracowywanie i wdrażanie bezpiecznych aplikacji.