Osvědčené postupy zabezpečeného vývoje v Azure

Tato série článků představuje aktivity zabezpečení a kontrolní mechanismy, které je potřeba vzít v úvahu při vývoji aplikací pro cloud. Probírá se fáze životního cyklu microsoftu security development lifecycle (SDL) a bezpečnostních otázek a konceptů, které je potřeba vzít v úvahu během každé fáze životního cyklu. Cílem je pomoct definovat aktivity a služby Azure, které můžete použít v každé fázi životního cyklu k návrhu, vývoji a nasazení bezpečnější aplikace.

Doporučení v těchto článcích pocházejí z našich zkušeností se zabezpečením Azure a zkušenostmi našich zákazníků. Tyto články můžete použít jako referenci na to, co byste měli zvážit během konkrétní fáze vašeho vývojového projektu, ale doporučujeme, abyste si také přečetli všechny články od začátku do konce aspoň jednou. Při čtení všech článků se seznámíte s koncepty, které jste mohli vynechat v dřívějších fázích projektu. Implementace těchto konceptů před vydáním produktu vám může pomoct sestavovat zabezpečený software, řešit požadavky na dodržování předpisů zabezpečení a snižovat náklady na vývoj.

Tyto články jsou určené jako prostředek pro návrháře softwaru, vývojáře a testery na všech úrovních, kteří vytvářejí a nasazují zabezpečené aplikace Azure.

Přehled

Zabezpečení je jedním z nejdůležitějších aspektů jakékoli aplikace a není to jednoduchá věc, která je správná. Azure naštěstí poskytuje mnoho služeb, které vám pomůžou zabezpečit vaši aplikaci v cloudu. Tyto články se zabývají aktivitami a službami Azure, které můžete implementovat v každé fázi životního cyklu vývoje softwaru, abyste mohli vyvíjet bezpečnější kód a nasazovat bezpečnější aplikaci v cloudu.

Životní cyklus vývoje zabezpečení

Dodržování osvědčených postupů pro zabezpečený vývoj softwaru vyžaduje integraci zabezpečení do každé fáze životního cyklu vývoje softwaru, od analýzy požadavků po údržbu bez ohledu na metodologii projektu (vodopád, agilní nebo DevOps). V důsledku porušení zabezpečení dat s vysokým profilem a zneužitím chyb provozního zabezpečení můžou vývojáři pochopit, že zabezpečení je potřeba řešit v průběhu procesu vývoje.

Později problém v životním cyklu vývoje opravíte tím více, čím více opravíte náklady. Problémy se zabezpečením nejsou výjimkou. Pokud v počátečních fázích vývoje softwaru ignorujete problémy se zabezpečením, každá z následujících fází může zdědit ohrožení zabezpečení předchozí fáze. Konečný produkt shromažďuje více bezpečnostních problémů a možnost porušení zabezpečení. Sestavování zabezpečení do každé fáze životního cyklu vývoje vám pomůže včas zachytit problémy a pomůže vám snížit náklady na vývoj.

Sledujeme fáze životního cyklu vývoje zabezpečení (SDL) společnosti Microsoft a zavádíme aktivity a služby Azure, které můžete použít k plnění zabezpečených postupů vývoje softwaru v jednotlivých fázích životního cyklu.

Fáze SDL jsou:

Security Development Lifecycle

V těchto článcích seskupíme fáze SDL do návrhu, vývoje a nasazení.

Zapojení týmu zabezpečení vaší organizace

Vaše organizace může mít formální program zabezpečení aplikací, který vám pomůže s aktivitami zabezpečení od začátku do konce během životního cyklu vývoje. Pokud má vaše organizace týmy zabezpečení a dodržování předpisů, nezapomeňte je zapojit, než začnete vyvíjet aplikaci. Zeptejte se jich v každé fázi SDL, jestli jste nezmeškali nějaké úkoly.

Chápeme, že mnoho čtenářů nemusí mít k zapojení týmu zabezpečení ani dodržování předpisů. Tyto články vám můžou pomoct při bezpečnostních otázkách a rozhodnutích, která je potřeba vzít v úvahu v každé fázi SDL.

Zdroje informací

Další informace o vývoji zabezpečených aplikací a zabezpečení aplikací v Azure najdete v následujících zdrojích informací:

Microsoft Security Development Lifecycle (SDL) – SDL je proces vývoje softwaru od Microsoftu, který vývojářům pomáhá vytvářet bezpečnější software. Pomáhá řešit požadavky na dodržování předpisů zabezpečení a zároveň snižovat náklady na vývoj.

Open Worldwide Application Security Project (OWASP) – OWASP je online komunita, která vytváří volně dostupné články, metodologie, dokumentaci, nástroje a technologie v oblasti zabezpečení webových aplikací.

Nabízení doleva, jako šéf - série online článků, které popisují různé typy aktivit zabezpečení aplikací, které by vývojáři měli dokončit, aby vytvořili bezpečnější kód.

Microsoft Identity Platform – Platforma Microsoft Identity Platform je vývojem služby Microsoft Entra identity a vývojářské platformy. Jedná se o plnohodnotnou platformu, která se skládá z ověřovací služby, opensourcových knihoven, registrace a konfigurace aplikací, úplné dokumentace pro vývojáře, ukázek kódu a dalšího obsahu pro vývojáře. Platforma Microsoft Identity Platform podporuje standardní protokoly, jako jsou OAuth 2.0 a OpenID Připojení.

Osvědčené postupy a vzory zabezpečení Azure – kolekce osvědčených postupů zabezpečení, které se mají použít při návrhu, nasazení a správě cloudových řešení pomocí Azure. Pokyny jsou určené jako prostředek pro IT profesionály. Může to zahrnovat návrháře, architekty, vývojáře a testery, kteří vytvářejí a nasazují zabezpečená řešení Azure.

Podrobné plány zabezpečení a dodržování předpisů v Azure – Podrobné plány zabezpečení a dodržování předpisů Azure jsou prostředky, které vám pomůžou sestavovat a spouštět cloudové aplikace, které splňují přísné předpisy a standardy.

Další kroky

V následujících článcích doporučujeme kontrolní mechanismy zabezpečení a aktivity, které vám pomůžou navrhovat, vyvíjet a nasazovat zabezpečené aplikace.