Рекомендации по безопасной разработке в Azure
В этой статье представлены действия по обеспечению безопасности и элементы управления безопасностью, которые следует учитывать при разработке приложений для облака. В статье рассматриваются вопросы и концепции безопасности, которые следует учитывать на этапах реализации и проверки жизненного цикла разработки защищенных приложений Майкрософт (SDL). Цель статьи — помочь вам определить действия и службы Azure, которые можно использовать для разработки хорошо защищенного приложения.
Представленные в этом документе рекомендации основаны на нашем опыте обеспечения безопасности в Azure, а также опыте наших клиентов. Эти статьи можно использовать в качестве справочной документации по определенному этапу проекта разработки, но мы рекомендуем также ознакомиться со всеми статьями от начала до конца по крайней мере один раз. Чтение всех статей познакомит вас с концепциями, которые могли быть пропущены на предыдущих этапах проекта. Реализация этих концепций до выпуска продукта может помочь вам создать безопасное программное обеспечение, обеспечить соответствие требованиям безопасности и снизить затраты на разработку.
Этот документ предназначен для специалистов по разработке систем, разработчиков и тест-инженеров всех уровней, которые создают и развертывают в Azure защищенные решения.
Обзор
Безопасность является одним из наиболее важных аспектов любого приложения, и это не просто, чтобы получить право. К счастью, Azure предоставляет множество служб, которые могут помочь защитить приложение в облаке. В этих статьях рассматриваются действия и службы Azure, которые можно реализовать на каждом этапе жизненного цикла разработки программного обеспечения, чтобы помочь вам разработать более безопасный код и развернуть более безопасное приложение в облаке.
Жизненный цикл разработки защищенных приложений
Следуя рекомендациям по обеспечению безопасной разработки программного обеспечения, необходимо интегрировать безопасность на каждом этапе жизненного цикла разработки программного обеспечения, от анализа требований до обслуживания, независимо от методологии проекта (waterfall, Agileили DevOps). Пробудившись в результате нарушений данных с высоким уровнем профилирования и использованием уязвимых дефектов системы безопасности, все больше разработчиков понимают, что о безопасности следует помнить на протяжении всего процесса разработки.
Чем позже вы исправите проблему в жизненном цикле разработки, тем больше, чем вы устраняете затраты. Проблемы безопасности не являются исключением. Если вы пропустите проблемы безопасности на ранних этапах разработки программного обеспечения, каждый следующий этап может наследовать уязвимости предыдущего этапа. Конечный продукт накапливает несколько проблем безопасности и возможность нарушения. Построение безопасности на каждом этапе жизненного цикла разработки помогает отслеживать проблемы на ранних этапах и снизить затраты на разработку.
Мы подчиняются этапам жизненного цикла разработки безопасности Microsoft (SDL), которые помогут вам реализовать действия и службы Azure, которые можно использовать для выполнения рекомендаций по обеспечению безопасности на каждом этапе жизненного цикла.
Фазы SDL :
В этих статьях мы сгруппированы этапы SDL в проектировании, разработке и развертывании.
Вовлечение команды по обеспечению безопасности вашей организации в работу
Ваша организация может использовать формальную программу безопасности приложений, которая помогает выполнять действия по обеспечению безопасности от начала до конца в течение жизненного цикла разработки. Если у вашей организации есть служба безопасности и соответствия требованиям, обязательно привлеките их к работе, прежде чем приступить к разработке приложения. На каждом этапе SDL спрашивайте у них, нет ли пропущенных задач.
Мы понимаем, что многие читатели могут не обладать службой безопасности или обеспечения соответствия требованиям. Эти статьи помогут вам в вопросах безопасности и решениях, которые необходимо учитывать на каждом этапе SDL.
Ресурсы
Используйте следующие ресурсы, чтобы узнать больше о разработке безопасных приложений и защите приложений в Azure.
Жизненный цикл разработки безопасности Майкрософт (SDL) — SDL — это процесс разработки программного обеспечения от Корпорации Майкрософт, который помогает разработчикам создавать более безопасное программное обеспечение. Он помогает решать требования к соответствию безопасности при снижении затрат на разработку.
Open Worldwide Application Security Project (OWASP) — OWASP — это онлайн-сообщество, которое создает свободно доступные статьи, методологии, документацию, инструменты и технологии в области безопасности веб-приложений.
Отправка слева, как босс — серия онлайн-статей, которые описывают различные типы действий безопасности приложений, которые разработчики должны завершить, чтобы создать более безопасный код.
платформа удостоверений Майкрософт . Платформа удостоверений Майкрософт является эволюцией службы удостоверений Майкрософт и платформы разработчиков. Это полная платформа, состоящая из службы проверки подлинности, библиотек с открытым исходным кодом, регистрации приложений и конфигурации, полной документации разработчика, примеров кода и другого содержимого разработчика. Платформа удостоверений Майкрософт поддерживает стандартные отраслевые протоколы, такие как OAuth 2.0 и OpenID Connect.
Рекомендации по безопасности Azure и шаблоны . Коллекция рекомендаций по обеспечению безопасности, используемых при разработке, развертывании и управлении облачными решениями с помощью Azure. Руководство предназначено для ИТ-специалистов. К ним могут относиться проектировщики, архитекторы, разработчики и тестировщики, занимающиеся созданием и развертыванием безопасных решений в Azure.
Схемы безопасности и соответствия требованиям в Azure . Схемы безопасности и соответствия требованиям Azure — это ресурсы, которые помогут вам создавать и запускать облачные приложения, соответствующие строгим правилам и стандартам.
Следующие шаги
В следующих статьях представлены элементы управления безопасностью и действия, которые рекомендуется использовать при разработке и развертывании защищенных приложений.