Azure'da güvenli geliştirme en iyi yöntemleri
Bu makale serisi, bulut için uygulama geliştirirken göz önünde bulundurmanız gereken güvenlik etkinliklerini ve denetimlerini sunar. Microsoft Güvenlik Geliştirme Yaşam Döngüsü(SDL) aşamaları ve yaşam döngüsünün her aşamasında dikkate alınacak güvenlik soruları ve kavramları ele alınmıştır. Amaç, daha güvenli bir uygulama tasarlamak, geliştirmek ve dağıtmak için yaşam döngüsünün her aşamasında kullanabileceğiniz etkinlikleri ve Azure hizmetlerini tanımlamanıza yardımcı olmaktır.
Makalelerdeki öneriler, Azure güvenliği deneyimimizden ve müşterilerimizin deneyimlerinden gelir. Geliştirme projenizin belirli bir aşamasında dikkate almanız gerekenler için bu makaleleri referans olarak kullanabilirsiniz, ancak tüm makaleleri baştan sona en az bir kez okumanızı öneririz. Tüm makaleleri okumak, projenizin önceki aşamalarında gözden kaçırmış olabileceğiniz kavramları size tanıtır. Ürününüzü yayınlamadan önce bu kavramları uygulamak güvenli yazılım oluşturmanıza, güvenlik uyumluluğu gereksinimlerini karşılamanıza ve geliştirme maliyetlerini azaltmanıza yardımcı olabilir.
Bu makalelerin, güvenli Azure uygulamaları oluşturup dağıtan tüm düzeylerdeki yazılım tasarımcıları, geliştiriciler ve test ediciler için bir kaynak olması amaçlanmıştır.
Genel Bakış
Güvenlik, herhangi bir uygulamanın en önemli yönlerinden biridir ve doğru yapmak basit bir şey değildir. Neyse ki Azure, uygulamanızın bulutta güvenliğini sağlamanıza yardımcı olabilecek birçok hizmet sunar. Bu makalelerde, daha güvenli kod geliştirmenize ve bulutta daha güvenli bir uygulama dağıtmanıza yardımcı olmak için yazılım geliştirme yaşam döngünüzün her aşamasında uygulayabileceğiniz etkinlikler ve Azure hizmetleri ele alınmaktadır.
Güvenlik geliştirme yaşam döngüsü
Güvenli yazılım geliştirmeye yönelik en iyi yöntemlerin izlenmesi için, proje metodolojisinden (şelale, çevik veya DevOps) bağımsız olarak gereksinim analizinden bakıma kadar yazılım geliştirme yaşam döngüsünün her aşamasına güvenlik tümleştirmesi gerekir. Yüksek profilli veri ihlalleri ve operasyonel güvenlik açıklarının kötüye kullanılmasının ardından, daha fazla geliştirici geliştirme süreci boyunca güvenliğin ele alınması gerektiğini anlıyor.
Geliştirme yaşam döngünüzdeki bir sorunu ne kadar geç düzeltirseniz, o kadar çok giderilir. Güvenlik sorunları özel durum değildir. Yazılım geliştirmenizin ilk aşamalarında güvenlik sorunlarını göz ardı ederseniz, izleyen her aşama önceki aşamanın güvenlik açıklarını devralabilir. Son ürününüz birden çok güvenlik sorunu ve ihlal olasılığı biriktirir. Geliştirme yaşam döngüsünün her aşamasında güvenlik oluşturmak sorunları erken yakalamanıza yardımcı olur ve geliştirme maliyetlerinizi azaltmanıza yardımcı olur.
Yaşam döngüsünün her aşamasında güvenli yazılım geliştirme uygulamalarını yerine getirmek için kullanabileceğiniz etkinlikleri ve Azure hizmetlerini tanıtmak için Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL) aşamalarını takip ediyoruz.
SDL aşamaları şunlardır:
Bu makalelerde SDL aşamalarını tasarım, geliştirme ve dağıtma olarak gruplandırıyoruz.
Kuruluşunuzun güvenlik ekibiyle etkileşime geçin
Kuruluşunuzun, geliştirme yaşam döngüsü boyunca baştan sona kadar güvenlik etkinliklerinde size yardımcı olan resmi bir uygulama güvenlik programı olabilir. Kuruluşunuzun güvenlik ve uyumluluk ekipleri varsa, uygulamanızı geliştirmeye başlamadan önce bu ekiplerle etkileşime geçmeyi unutmayın. SDL'nin her aşamasında, kaçırdığınız görevler olup olmadığını sorun.
Birçok okuyucuda etkileşime geçebilecek bir güvenlik veya uyumluluk ekibi bulunmayabileceğini anlıyoruz. Bu makaleler, SDL'nin her aşamasında göz önünde bulundurmanız gereken güvenlik soruları ve kararlarında size yol göstermesine yardımcı olabilir.
Kaynaklar
Güvenli uygulamalar geliştirme hakkında daha fazla bilgi edinmek ve Azure'da uygulamalarınızın güvenliğini sağlamaya yardımcı olmak için aşağıdaki kaynakları kullanın:
Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL) - SDL, Microsoft'un geliştiricilerin daha güvenli yazılım oluşturmasına yardımcı olan bir yazılım geliştirme sürecidir. Geliştirme maliyetlerini azaltırken güvenlik uyumluluğu gereksinimlerini karşılamanıza yardımcı olur.
Open Worldwide Application Security Project (OWASP) - OWASP, web uygulaması güvenliği alanında serbestçe kullanılabilir makaleler, yöntemler, belgeler, araçlar ve teknolojiler üreten çevrimiçi bir topluluk.
Sola Gönderme, Patron Gibi - Geliştiricilerin daha güvenli kod oluşturmak için tamamlaması gereken farklı uygulama güvenliği etkinliklerini özetleyen bir dizi çevrimiçi makale.
Microsoft kimlik platformu - Microsoft kimlik platformu, Microsoft Entra kimlik hizmeti ve geliştirici platformunun bir evrimidir. Bir kimlik doğrulama hizmeti, açık kaynak kitaplıkları, uygulama kaydı ve yapılandırması, tam geliştirici belgeleri, kod örnekleri ve diğer geliştirici içeriklerinden oluşan tam özellikli bir platform. Microsoft kimlik platformu, OAuth 2.0 ve OpenID Bağlan gibi endüstri standardı protokolleri destekler.
Azure güvenlikle ilgili en iyi yöntemler ve desenler - Azure kullanarak bulut çözümlerini tasarlarken, dağıtırken ve yönetirken kullanılacak en iyi güvenlik yöntemleri koleksiyonu. Rehberlik, BT uzmanları için bir kaynak olarak tasarlanmıştır. Bu, güvenli Azure çözümleri oluşturup dağıtan tasarımcıları, mimarları, geliştiricileri ve test edicileri içerebilir.
Azure'da Güvenlik ve Uyumluluk Şemaları - Azure Güvenlik ve Uyumluluk Şemaları, katı düzenlemelere ve standartlara uygun bulut destekli uygulamalar oluşturmanıza ve başlatmanıza yardımcı olabilecek kaynaklardır.
Sonraki adımlar
Aşağıdaki makalelerde, güvenli uygulamalar tasarlamanıza, geliştirmenize ve dağıtmanıza yardımcı olabilecek güvenlik denetimlerini ve etkinlikleri öneririz.