Proteja as práticas recomendadas de desenvolvimento no Azure
Esta série de artigos apresenta atividades e controles de segurança a serem considerados ao desenvolver aplicativos para a nuvem. São abordadas as fases do Microsoft Security Development Lifecycle (SDL) e as questões e conceitos de segurança a considerar durante cada fase do ciclo de vida. O objetivo é ajudá-lo a definir atividades e serviços do Azure que você pode usar em cada fase do ciclo de vida para projetar, desenvolver e implantar um aplicativo mais seguro.
As recomendações nos artigos vêm da nossa experiência com a segurança do Azure e das experiências dos nossos clientes. Você pode usar esses artigos como uma referência para o que você deve considerar durante uma fase específica do seu projeto de desenvolvimento, mas sugerimos que você também leia todos os artigos do início ao fim pelo menos uma vez. A leitura de todos os artigos apresenta conceitos que você pode ter perdido em fases anteriores do seu projeto. Implementar esses conceitos antes de lançar seu produto pode ajudá-lo a criar software seguro, atender aos requisitos de conformidade de segurança e reduzir os custos de desenvolvimento.
Estes artigos destinam-se a ser um recurso para designers de software, programadores e testadores a todos os níveis que criam e implementam aplicações seguras do Azure.
Descrição geral
A segurança é um dos aspetos mais importantes de qualquer aplicação, e não é uma coisa simples de acertar. Felizmente, o Azure fornece muitos serviços que podem ajudá-lo a proteger seu aplicativo na nuvem. Estes artigos abordam atividades e serviços do Azure que você pode implementar em cada estágio do ciclo de vida de desenvolvimento de software para ajudá-lo a desenvolver um código mais seguro e implantar um aplicativo mais seguro na nuvem.
Ciclo de vida de desenvolvimento de segurança
Seguir as melhores práticas para o desenvolvimento seguro de software requer a integração da segurança em cada fase do ciclo de vida de desenvolvimento de software, desde a análise de requisitos até a manutenção, independentemente da metodologia do projeto (cascata, ágil ou DevOps). Na esteira de violações de dados de alto perfil e da exploração de falhas de segurança operacional, mais desenvolvedores estão entendendo que a segurança precisa ser abordada durante todo o processo de desenvolvimento.
Quanto mais tarde você corrigir um problema no seu ciclo de vida de desenvolvimento, mais essa correção lhe custará. As questões de segurança não são exceção. Se você ignorar os problemas de segurança nas fases iniciais do desenvolvimento de software, cada fase seguinte poderá herdar as vulnerabilidades da fase anterior. O seu produto final acumula vários problemas de segurança e a possibilidade de uma violação. Incorporar segurança em cada fase do ciclo de vida do desenvolvimento ajuda a detetar problemas precocemente e ajuda a reduzir os custos de desenvolvimento.
Seguimos as fases do Microsoft Security Development Lifecycle (SDL) para introduzir atividades e serviços do Azure que você pode usar para cumprir práticas seguras de desenvolvimento de software em cada fase do ciclo de vida.
As fases do SDL são:
Nestes artigos, agrupamos as fases do SDL em design, desenvolvimento e implantação.
Envolva a equipa de segurança da sua organização
Sua organização pode ter um programa formal de segurança de aplicativos que o auxilia com atividades de segurança do início ao fim durante o ciclo de vida do desenvolvimento. Se sua organização tiver equipes de segurança e conformidade, envolva-as antes de começar a desenvolver seu aplicativo. Pergunte-lhes em cada fase do SDL se há alguma tarefa que você perdeu.
Entendemos que muitos leitores podem não ter uma equipe de segurança ou conformidade para se envolver. Estes artigos podem ajudar a guiá-lo nas perguntas e decisões de segurança que você precisa considerar em cada fase do SDL.
Recursos
Use os seguintes recursos para saber mais sobre como desenvolver aplicativos seguros e ajudar a proteger seus aplicativos no Azure:
Microsoft Security Development Lifecycle (SDL) - O SDL é um processo de desenvolvimento de software da Microsoft que ajuda os desenvolvedores a criar software mais seguro. Ele ajuda você a atender aos requisitos de conformidade de segurança enquanto reduz os custos de desenvolvimento.
Open Worldwide Application Security Project (OWASP) - O OWASP é uma comunidade online que produz artigos, metodologias, documentação, ferramentas e tecnologias disponíveis gratuitamente no campo da segurança de aplicações web.
Empurrando para a esquerda, como um chefe - Uma série de artigos on-line que descrevem diferentes tipos de atividades de segurança de aplicativos que os desenvolvedores devem concluir para criar código mais seguro.
Plataforma de identidade da Microsoft - A plataforma de identidade da Microsoft é uma evolução do serviço de identidade Microsoft Entra e da plataforma de desenvolvedores. É uma plataforma completa que consiste em um serviço de autenticação, bibliotecas de código aberto, registro e configuração de aplicativos, documentação completa do desenvolvedor, exemplos de código e outros conteúdos para desenvolvedores. A plataforma de identidade da Microsoft suporta protocolos padrão do setor, como OAuth 2.0 e OpenID Connect.
Práticas recomendadas e padrões de segurança do Azure - Uma coleção de práticas recomendadas de segurança para usar ao projetar, implantar e gerenciar soluções de nuvem usando o Azure. As orientações destinam-se a ser um recurso para profissionais de TI. Isso pode incluir designers, arquitetos, desenvolvedores e testadores que criam e implantam soluções seguras do Azure.
Planos de Segurança e Conformidade no Azure - Os Planos de Segurança e Conformidade do Azure são recursos que podem ajudá-lo a criar e iniciar aplicações baseadas na nuvem que cumprem regulamentos e normas rigorosos.
Próximos passos
Nos artigos a seguir, recomendamos controles de segurança e atividades que podem ajudá-lo a projetar, desenvolver e implantar aplicativos seguros.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários