Aanbevolen procedures voor veilige ontwikkeling in Azure
Deze reeks artikelen bevat beveiligingsactiviteiten en besturingselementen die u kunt overwegen wanneer u toepassingen voor de cloud ontwikkelt. De fasen van de SDL (Microsoft Security Development Lifecycle) en beveiligingsvragen en -concepten die tijdens elke fase van de levenscyclus moeten worden overwogen, worden behandeld. Het doel is om u te helpen bij het definiëren van activiteiten en Azure-services die u in elke fase van de levenscyclus kunt gebruiken om een veiligere toepassing te ontwerpen, ontwikkelen en implementeren.
De aanbevelingen in de artikelen zijn afkomstig van onze ervaring met Azure-beveiliging en van de ervaringen van onze klanten. U kunt deze artikelen gebruiken als referentie voor wat u moet overwegen tijdens een specifieke fase van uw ontwikkelingsproject, maar we raden u aan om ook alle artikelen te lezen van begin tot eind ten minste één keer. Als u alle artikelen leest, maakt u kennis met concepten die u mogelijk hebt gemist in eerdere fasen van uw project. Door deze concepten te implementeren voordat u uw product vrijgeeft, kunt u beveiligingssoftware bouwen, nalevingsvereisten voor beveiliging aanpakken en de ontwikkelingskosten verlagen.
Deze artikelen zijn bedoeld als een resource voor softwareontwerpers, ontwikkelaars en testers op alle niveaus die beveiligde Azure-toepassingen bouwen en implementeren.
Overzicht
Beveiliging is een van de belangrijkste aspecten van elke toepassing en het is niet eenvoudig om goed te komen. Gelukkig biedt Azure veel services waarmee u uw toepassing in de cloud kunt beveiligen. In deze artikelen worden activiteiten en Azure-services beschreven die u in elke fase van uw levenscyclus voor softwareontwikkeling kunt implementeren om u te helpen veiligere code te ontwikkelen en een veiligere toepassing in de cloud te implementeren.
Security Development Lifecycle
Voor het volgen van aanbevolen procedures voor het ontwikkelen van beveiligde software moet beveiliging worden geïntegreerd in elke fase van de levenscyclus van softwareontwikkeling, van vereisteanalyse tot onderhoud, ongeacht de projectmethodologie (waterval, agile of DevOps). Als gevolg van gegevensschendingen met een hoog profiel en de exploitatie van operationele beveiligingsfouten, begrijpen meer ontwikkelaars dat de beveiliging tijdens het ontwikkelingsproces moet worden aangepakt.
Hoe later u een probleem in uw ontwikkelingslevenscyclus oplost, hoe meer u kosten oplost. Beveiligingsproblemen zijn geen uitzondering. Als u beveiligingsproblemen in de vroege fasen van uw softwareontwikkeling negeert, kan elke volgende fase de beveiligingsproblemen van de voorgaande fase overnemen. Uw eindproduct verzamelt meerdere beveiligingsproblemen en de mogelijkheid van een inbreuk. Door beveiliging in elke fase van de ontwikkelingslevenscyclus in te bouwen, kunt u problemen vroegtijdig ondervangen en kunt u uw ontwikkelkosten verlagen.
We volgen de fasen van de Microsoft Security Development Lifecycle (SDL) om activiteiten en Azure-services te introduceren die u kunt gebruiken om te voldoen aan veilige softwareontwikkelingsprocedures in elke fase van de levenscyclus.
De SDL-fasen zijn:
In deze artikelen groeperen we de SDL-fasen in het ontwerpen, ontwikkelen en implementeren.
Neem contact op met het beveiligingsteam van uw organisatie
Uw organisatie heeft mogelijk een formeel toepassingsbeveiligingsprogramma dat u helpt bij beveiligingsactiviteiten van begin tot eind tijdens de ontwikkelingslevenscyclus. Als uw organisatie beveiligings- en nalevingsteams heeft, moet u deze betrekken voordat u begint met het ontwikkelen van uw toepassing. Vraag ze in elke fase van de SDL of er taken zijn die u hebt gemist.
We begrijpen dat veel lezers mogelijk geen beveiligings- of complianceteam hebben om contact op te nemen. Deze artikelen kunnen u helpen bij de beveiligingsvragen en beslissingen die u in elke fase van de SDL moet overwegen.
Resources
Gebruik de volgende bronnen voor meer informatie over het ontwikkelen van beveiligde toepassingen en het beveiligen van uw toepassingen in Azure:
Microsoft Security Development Lifecycle (SDL): de SDL is een softwareontwikkelingsproces van Microsoft waarmee ontwikkelaars veiligere software kunnen bouwen. Het helpt u om te voldoen aan vereisten voor beveiligingsnaleving en tegelijkertijd de ontwikkelingskosten te verlagen.
Open Worldwide Application Security Project (OWASP) - OWASP is een onlinecommunity die vrij beschikbare artikelen, methodologieën, documentatie, hulpprogramma's en technologieën produceert op het gebied van beveiliging van webtoepassingen.
Pushen naar links, zoals een baas - een reeks onlineartikelen die verschillende typen toepassingsbeveiligingsactiviteiten beschrijven die ontwikkelaars moeten voltooien om veiligere code te maken.
Microsoft Identity Platform - Het Microsoft Identity Platform is een evolutie van de Microsoft Entra Identity Service en het ontwikkelaarsplatform. Het is een volledig platform dat bestaat uit een verificatieservice, opensource-bibliotheken, toepassingsregistratie en configuratie, volledige documentatie voor ontwikkelaars, codevoorbeelden en andere inhoud voor ontwikkelaars. Het Microsoft Identity Platform ondersteunt industriestandaard protocollen zoals OAuth 2.0 en OpenID Verbinding maken.
Best practices en patronen voor Azure-beveiliging: een verzameling aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure. Richtlijnen zijn bedoeld als een resource voor IT-professionals. Dit kunnen ontwerpers, architecten, ontwikkelaars en testers zijn die veilige Azure-oplossingen bouwen en implementeren.
Beveiligings- en nalevingsblauwdrukken in Azure : Blauwdrukken voor beveiliging en naleving van Azure zijn resources die u kunnen helpen bij het bouwen en starten van cloudtoepassingen die voldoen aan strenge regelgeving en standaarden.
Volgende stappen
In de volgende artikelen raden we beveiligingscontroles en -activiteiten aan die u kunnen helpen bij het ontwerpen, ontwikkelen en implementeren van beveiligde toepassingen.