Praktik terbaik penyebaran yang aman di Azure
Rangkaian artikel ini menyajikan aktivitas dan kontrol keamanan untuk dipertimbangkan ketika Anda mengembangkan aplikasi untuk cloud. Fase Microsoft Security Development Lifecycle (SDL) serta pertanyaan dan konsep keamanan untuk dipertimbangkan selama setiap fase siklus hidup yang tercakup. Tujuannya adalah membantu Anda menentukan aktivitas dan layanan Azure yang dapat Anda gunakan di setiap fase siklus hidup untuk merancang, mengembangkan, dan menyebarkan aplikasi yang lebih aman.
Rekomendasi dalam artikel berasal dari pengalaman kami dengan keamanan Azure dan dari pengalaman pelanggan kami. Anda dapat menggunakan artikel ini sebagai referensi untuk hal yang harus Anda pertimbangkan selama fase tertentu dari proyek pengembangan Anda, tetapi kami menyarankan agar Anda juga membaca semua artikel dari awal hingga akhir minimal sekali. Membaca semua artikel memperkenalkan Anda pada konsep yang mungkin telah Anda lewatkan di fase awal proyek Anda. Menerapkan konsep ini sebelum merilis produk dapat membantu Anda membuat perangkat lunak yang aman, memenuhi persyaratan kepatuhan keamanan, dan mengurangi biaya pengembangan.
Artikel ini dimaksudkan untuk menjadi sumber daya bagi perancang, pengembang, dan penguji perangkat lunak di semua tingkatan yang membuat dan menyebarkan aplikasi Azure yang aman.
Gambaran Umum
Keamanan adalah salah satu aspek terpenting dari aplikasi apa pun, dan itu bukan hal yang sederhana untuk mendapatkan hak. Untungnya, Azure menyediakan banyak layanan yang dapat membantu Anda mengamankan aplikasi di cloud. Artikel ini membahas aktivitas dan layanan Azure yang dapat Anda terapkan pada setiap tahap siklus hidup pengembangan perangkat lunak Anda untuk membantu Anda mengembangkan kode yang lebih aman dan menyebarkan aplikasi yang lebih aman di cloud.
Siklus hidup pengembangan keamanan
Mengikuti praktik terbaik untuk pengembangan perangkat lunak yang aman perlu mengintegrasikan keamanan ke dalam setiap fase siklus hidup pengembangan perangkat lunak, dari analisis persyaratan hingga pemeliharaan, terlepas dari metodologi proyek (air terjun, lincah,, atau DevOps). Setelah pelanggaran data profil tinggi dan eksploitasi kelemahan keamanan operasi, lebih banyak pengembang memahami bahwa keamanan perlu ditangani selama proses pengembangan.
Semakin lambat Anda memperbaiki masalah dalam siklus hidup pengembangan Anda, semakin banyak yang memperbaiki biaya Anda. Tak terkecuali masalah keamanan. Jika Anda mengabaikan masalah keamanan di fase awal pengembangan perangkat lunak Anda, setiap fase yang mengikuti dapat mewarisi kerentanan fase sebelumnya. Produk akhir Anda mengakumulasi beberapa masalah keamanan dan kemungkinan pelanggaran. Membangun keamanan ke dalam setiap fase siklus hidup pengembangan membantu Anda menangkap masalah lebih awal, dan membantu mengurangi biaya pengembangan.
Kami mengikuti fase Microsoft Security Development Lifecycle (SDL) untuk memperkenalkan aktivitas dan layanan Azure yang dapat Anda gunakan untuk memenuhi praktik pengembangan perangkat lunak yang aman di setiap fase siklus hidup.
Fase SDL adalah:
Dalam artikel ini, kami mengelompokkan fase SDL ke dalam desain, pengembangan, dan penyebaran.
Melibatkan tim keamanan organisasi Anda
Organisasi Anda dapat memiliki program keamanan aplikasi formal yang membantu Anda dengan aktivitas keamanan dari awal hingga akhir selama siklus hidup pengembangan. Jika organisasi Anda memiliki tim keamanan dan kepatuhan, pastikan untuk melibatkan mereka sebelum Anda mulai mengembangkan aplikasi. Tanyakan kepada mereka di setiap fase SDL apakah ada tugas yang Anda lewatkan.
Kami memahami bahwa banyak pembaca mungkin tidak memiliki tim keamanan atau kepatuhan untuk terlibat. Artikel-artikel ini dapat membantu memandu Anda dalam pertanyaan dan keputusan keamanan yang perlu Anda pertimbangkan di setiap fase SDL.
Sumber
Gunakan sumber daya berikut untuk mempelajari selengkapnya tentang mengembangkan aplikasi yang aman dan membantu mengamankan aplikasi Anda di Azure:
Microsoft Security Development Lifecycle (SDL) - SDL adalah proses pengembangan perangkat lunak dari Microsoft yang membantu pengembang membangun perangkat lunak yang lebih aman. Hal ini membantu Anda memenuhi persyaratan kepatuhan keamanan sambil mengurangi biaya pengembangan.
Open Worldwide Application Security Project (OWASP) - OWASP adalah komunitas online yang menghasilkan artikel, metodologi, dokumentasi, alat, dan teknologi yang tersedia secara bebas di bidang keamanan aplikasi web.
platform identitas Microsoft - platform identitas Microsoft adalah evolusi dari layanan identitas Microsoft Entra dan platform pengembang. Ini adalah platform berformat lengkap yang terdiri dari layanan autentikasi, pustaka sumber terbuka, pendaftaran dan konfigurasi aplikasi, dokumentasi pengembang lengkap, sampel kode, dan konten pengembang lainnya. Platform identitas Microsoft mendukung protokol standar industri seperti OAuth 2.0 dan OpenID Connect.
Praktik dan pola terbaik keamanan Azure - Kumpulan praktik terbaik keamanan untuk digunakan saat Anda merancang, menyebarkan, dan mengelola solusi cloud dengan menggunakan Azure. Panduan dimaksudkan untuk menjadi sumber daya bagi profesional TI. Dapat meliputi perancang, arsitek, pengembang, dan penguji yang membuat dan menyebarkan solusi Azure yang aman.
Cetak Biru Keamanan dan Kepatuhan di Azure - Azure Security and Compliance Blueprints adalah sumber daya yang dapat membantu Anda membangun dan meluncurkan aplikasi yang didukung cloud yang mematuhi peraturan dan standar yang ketat.
Langkah berikutnya
Dalam artikel berikut, kami merekomendasikan kontrol dan aktivitas keamanan yang dapat membantu Anda merancang, mengembangkan, dan menyebarkan aplikasi yang aman.