Azure 上安全開發的最佳做法
本系列文章說明開發雲端應用程式時應考慮的安全性活動和控制措施。 內容涵蓋 Microsoft 安全性開發生命週期 (SDL) 的階段,並說明生命週期各個階段所要考慮的安全性問題和概念。 目標是要協助您定義生命週期各個階段可運用的活動和 Azure 服務,用來設計、開發和部署更安全的應用程式。
本文中提供的建議來自於我們在 Azure 安全性方面的經驗以及客戶的使用體驗。 您可以在開發專案進行到特定階段時,參考這些文章了解應考量的事項,但建議您也從頭到尾閱讀所有文章至少一次。 閱讀所有文章可讓您了解您在專案的先前階段中可能遺漏的概念。 在發行產品之前實作這些概念,可協助您建置安全的軟體、解決安全性合規性需求,以及降低開發成本。
這些文章的適用對象:所有層級的軟體設計人員、開發人員和測試人員,這些人員負責建置及部署安全的 Azure 應用程式。
概觀
安全性是任何應用程式最重要的層面之一,而且絕非易事。 幸運的是,Azure 提供的許多服務都能協助您保護雲端中的應用程式。 這些文章說明可在軟體開發生命週期各個階段實作的活動和 Azure 服務,協助您開發更安全的程式碼,並在雲端中部署更安全的應用程式。
安全性開發生命週期
下列安全軟體開發最佳做法需將安全性整合到軟體開發生命週期的每個階段,從需求分析到維護皆然,不論專案方法為何 (瀑布式、敏捷式或 DevOps) 。 發生引人矚目的資料洩漏和作業安全瑕疵遭惡意探索的情形後,更多開發人員了解到整個開發過程中都需妥善處理安全性。
若在開發生命週期的越後期修正問題,修正的成本就越高。 安全性問題沒有例外狀況。 如果您在軟體開發的早期階段忽略安全性問題,則後續的每個階段都可能會繼承上一個階段的弱點。 您的最終產品會累積多個安全性問題,且可能產生缺口。 在開發生命週期的每個階段建置安全性,可協助您及早發現問題,且有助於降低開發成本。
我們會依照 Microsoft 安全性開發生命週期 (英文) (SDL) 的階段,說明您可以運用的活動與 Azure 服務,讓您在生命週期的每個階段都能實現安全軟體開發做法。
SDL 階段為:
在這些文章中,我們將 SDL 階段分組為設計、開發和部署。
讓您組織的安全性小組參與
您的組織可能會有一套正式的應用程式安全性計畫,協助從開發生命週期開始到完成期間的安全性活動。 如果您的組織有安全性與合規性小組,請務必在開始開發應用程式之前讓他們參與。 請在 SDL 的每個階段詢問他們您是否有遺漏任何工作。
我們了解許多讀者可能沒有可參與其中的安全性或合規性小組。 這些文章有助於引導您處理 SDL 的每個階段需考慮的安全性問題和決策。
資源
使用下列資源深入了解如何開發安全的應用程式,並協助保護 Azure 上的應用程式:
Microsoft 安全性開發生命週期 (英文) (SDL):SDL 是 Microsoft 的軟體開發程序,可協助開發人員建置更安全的軟體。 這個生命週期可協助您解決安全性合規性需求,同時降低開發成本。
Open Worldwide Application Security Project (英文) (OWASP):OWASP 是一個線上社群,其針對 Web 應用程式安全性領域提供可免費取用的文章、方法、文件、工具和技術。
Microsoft 身分識別平台 (部分機器翻譯):Microsoft 身分識別平台是 Microsoft Entra 識別服務與開發人員平台的演進。 其為功能完善的平台,集結了驗證服務、開放原始碼程式庫、應用程式註冊與設定、完整開發人員文件、程式碼範例與其他開發人員內容。 Microsoft 身分識別平台支援業界標準通訊協定,像是 OAuth 2.0 與 OpenID Connect。
Azure 安全性最佳做法和模式 (部分機器翻譯):使用 Azure 來設計、部署和管理雲端解決方案時,可使用的安全性最佳做法集合。 本指導方針旨在作為 IT 專業人員的資源。 其中可包括建置和部署安全 Azure 解決方案的設計人員、架構設計師、開發人員和測試人員。
Azure 上的安全性與合規性藍圖:Azure 安全性與合規性藍圖是實用的資源,可協助您建置及啟動符合嚴格法規和標準的雲端應用程式。
下一步
在下列文章中,我們會建議可協助您設計、開發和部署安全應用程式的安全性控制措施與活動。