Sicherheit
Sicher ist sicher
Distributed Denial of Service (DDoS), Cross-Site Scripting, Angriffe auf Passwörter, Einschleusung von Schadsoftware und SQL-Injection sind nur einige der Angriffsformen, mit denen sich Developer auseinandersetzen sollten. Der Microsoft Digital Defense Response Report aus dem Jahr 2022 zeigt, dass diese Angriffe immer mehr zunehmen. Laut Bitkom lag der Gesamtschaden der attackierten Unternehmen in Deutschland 2020/2021 bei über 200 Milliarden Euro. Dabei sind rund neun von zehn Unternehmen von einem Angriff betroffen. Ziel muss es also sein, Sicherheitslücken zu vermeiden, die Angriffsfläche zu verringern und die Cyber-Resilienz zu erhöhen. Auch du als Developer kannst dabei helfen.
Security bzw. sicherheitsrelevante Aspekte sollten bereits in der Planungs- und der Entwicklungsphase einer App oder einer Softwarelösung eine entscheidende Rolle spielen – egal mit welcher Programmiersprache, welchem Framework und für welche Plattform du entwickelst. Wir bei Microsoft unterstützen dich dabei mit verschiedenen Angeboten, Tools, Anleitungen und Best Practices.
Unabhängig von den Maßnahmen während Entwicklung und Betrieb einer Anwendung, kannst du dich an diesen Punkten orientieren:
Trainiere das Team
Stelle sicher, dass alle Teammitglieder die Security-Maßnahmen verstehen.
Definiere die Anforderungen
Lege eine Sicherheits-Baseline fest, die in den DevOps-Prozess und die Pipeline aufgenommen wird.
Definiere Metriken und Compliance-Vorgaben
Lege spezifische Metriken fest, um Maßnahmen voranzutreiben und Compliance-Ziele zu unterstützen.
Verwende Software Composition Analysis (SCA) und Governance
Analysiere und inventarisiere die Komponenten von Drittanbietern und erstelle einen Plan zur Bewertung gemeldeter Schwachstellen.
Führe eine Bedrohungsmodellierung durch
Nutze eine Bedrohungsmodellierung, um Sicherheitsschwachstellen zu identifizieren, das Risiko zu bestimmen und ggf. Abhilfe zu schaffen.
Nutze Tools und Automatisierung
Wähle Tools und intelligente Automatisierung aus, um dein Team zu unterstützen und Konsistenz zu gewährleisten.
Schütze deine Credentials
Vermeide es, „Geheimnisse“ im Code zu verstecken, denn der Anwendungscode kann nicht vor Angreifern geschützt werden.
Setze auf kontinuierliche Überwachung
Überwache deine Anwendungen auf Leistungs- und Sicherheitsprobleme, um die Zeit bis zur Erkennung und Eindämmung von Angriffen zu verkürzen.
DevSecOps – Sicherheit als fester Bestandteil des Entwicklungszyklus
Bei der Entwicklung von Apps und anderen Softwarelösungen solltest du auf einen mehrschichtigen Sicherheitsansatz setzen, der den Code, die Release Pipelines, Runtimes und Datenbanken mit einschließt. Ein Ansatz, der hierfür aktuell genutzt wird, ist DevSecOps, also die Integration von Sicherheitsmethoden und -tools in einen DevOps-Prozess. Dabei solltest du beachten, dass dies kein einmaliger Aufwand ist, sondern ein kontinuierlicher und fortlaufender Prozess, der alle Teammitglieder in der Entwicklung und IT betrifft.
Die Integration der Sicherheit sollte daher Schritt für Schritt erfolgen, am besten beginnend mit den Änderungen, die die größten Auswirkungen auf die Sicherheit haben, aber nur geringe Belastung für den eigentlichen Entwicklungsprozess mit sich bringen. Da sich Entwicklungsprozesse von Team zu Team stark unterscheiden können, musst du individuell entscheiden, welche Maßnahmen für dein Projekt am besten geeignet sind. Unsere gesammelten Ressourcen helfen dir dabei. Grundsätzlich kannst du dich aber an diesen Punkten orientieren, aufgeteilt in fünf Phasen deines Development Lifecycles.
Fünf Phasen deines Development Lifecycles
- Bedrohungsmodellierung
- Hooks vor dem Commit
- IDE Security Plugins
- Sichere Programmierstandards
- Peer Reviews
- Schützen von Pipelines
- Statische Sicherheitstests
- Funktionale und Unit Tests
- Verwaltung von Abhängigkeiten
- Dynamische Sicherheitstests
- Überprüfen von Cloudkonfiguration
- Scannen der Infrastruktur
- Security Acceptance Testing
- Security Smoke Tests
- Check der Konfiguration
- Penetrationstests
- Fortlaufendes Monitoring
- Penetrationstests
- Threat Intelligence
Security-Dienste auf Microsoft Azure
Einer der vielen Pluspunkte von Microsoft Azure sind die zahlreichen Sicherheitstools und -funktionen, die über die Plattform zur Verfügung gestellt werden. Diese ermöglichen dir die Entwicklung sicherer Lösungen auf einer sicheren Plattform. Dabei decken sie auch eine Vielzahl von sicherheitsrelevanten Themenfeldern ab: Zugriffsverwaltung, Schutz von sensiblen Daten, Schutz vor Cyberattacken, Verwaltung von Identitäten und viele mehr.
Einer der wichtigsten Aspekte, auch für die Entwicklung sicherer Softwarelösungen, ist die Identitäts- und Zugriffsverwaltung. Hierfür steht dir mit Azure Active Directory (AAD) ein umfassender Dienst zur Verfügung, mit dem du Punkte wie Single Sign-On, Multi-Faktor-Authentifizierung und Conditional Access umsetzen kannst. Schaue dir beispielsweise diese AAD-Angebote an:
Azure Active Directory
Azure Active Directory ist ein cloudbasiertes Repository für die Authentifizierungsaufgaben, das ein Verzeichnis mit mehreren Mandanten sowie Verwaltungsdienste für mehrere Identitäten auf Azure unterstützt.
Azure Active Directory B2C
Azure Active Directory B2C ist ein Identitätsverwaltungsdienst, mit dem du die Registrierung und Anmeldung von Kunden und deren Verwaltung bei Azure-Anwendungen steuern kannst.
Azure AD Multi-Factor Authentication
Azure AD Multi-Factor Authentication ist ein Sicherheitsmechanismus, der verschiedene Formen der Authentifizierung und Überprüfung anwendet, bevor der Zugriff auf abgesicherte Informationen zugelassen wird.
Azure hat aber noch viele weitere hilfreiche Security-Dienste im Angebot, besonders interessant könnten die folgenden Angebote für dich sein:
Azure DDoS Protection
Schütze deine Azure-Ressourcen vor verteilten Denial-of-Service-Angriffen.
Azure Web Application Firewall
Nutze den cloudnativen Firewall-Dienst für einen leistungsstarken Schutz von Web Apps.
Key Vault
Sichere kryptografische Schlüssel und andere Geheimnisse, die von Cloudanwendungen und -Diensten verwendet werden.
Application Gateway
Erstelle sichere, skalierbare und hochverfügbare Web-Frontends auf Azure.
Microsoft Defender for Cloud
Schütze deine Multi-Cloud- und Hybrid-Umgebungen.
Microsoft Defender for DevOps
Profitiere von einer durchgängigen DevOps-Sicherheitsverwaltung in Multi-Cloud- und Multi-Pipeline-Umgebungen.
Azure Firewall
Schütze deine Azure Virtual Network-Ressourcen auf Basis von cloudnativer Netzwerksicherheit.
Die wichtigsten News der Kalenderwoche 20/2024: Microsoft Azure, Security und mehr
Nur noch eine Woche: Melde dich jetzt für die Microsoft Build an!
Offiziell verfügbar: Microsoft Entra External ID
Die wichtigsten News der Kalenderwoche 18/2024: KI, Security, GitHub und mehr
Die wichtigsten News der Kalenderwoche 17/2024: KI, Phi-3, Security und mehr
For Developers, by Developers – melde dich jetzt für die Microsoft Build an!
Microsoft Security Virtual Training Day: Defend Against Threats with Extended Detection and Response
Microsoft Build
Microsoft Tech Talks - XDR - Supercharge your SOC efficiency with XDR
Microsoft 365 Virtual Training Day: Manage Windows and Surface Devices with Intune
Microsoft Fragestunde: Datenschutz & Datensicherheit | Für öffentliche Einrichtungen, Verwaltung und (Hoch-)Schulen
Microsoft Tech Talks - Guardians of the Cloud: Unveiling the Power of Microsoft Sentinel and CSPM
Sichere Entwicklung von Anwendungen – passende Ressourcen für jedes Skill-Level
Ganz egal, ob du sichere Anwendungen auf Azure entwickeln willst, deine .NET-Anwendungen besser vor Angriffen schützen möchtest oder dich für DevSecOps interessierst – mit unseren umfangreichen Ressourcen wie E-Books,Tutorials und Kursen kannst du das passende Wissen aufbauen.
Microsoft Security Solution Feature Guide für Microsoft Defender for Office 365
Nutzen Sie alle Vorteile der wichtigsten Funktionen und Sicherheitsmerkmale um deine Collaboration-Tools und Unternehmensdaten zu schützen.
Schulungen für Bedrohungsschutz und Cloud-Sicherheit für Profis
Folge diesem Trainingspfad, um fortgeschrittene Trainingsressourcen zu erhalten, die dir helfen, Bedrohungen zu stoppen und deine Multi-Cloud-Ressourcen, Anwendungen und Daten zu schützen.
Schulungen für Bedrohungsschutz und Cloud-Sicherheit für Fortgeschrittene
Sobald du die Grundlagen zum Stoppen von Bedrohungen und zum Schutz deiner Multi-Cloud-Ressourcen, -Apps und -Daten beherrschst, folge diesem Pfad, um deine Kenntnisse auf die nächste Stufe zu heben.
Microsoft Security Solution Feature Guide für Microsoft Defender for Endpoint
Mache das Beste aus deiner Investition und stoppe Angriffe. Überwinde Endpunkt-Silos und entwickle deine Sicherheit auf der Grundlage von XDR und Zero Trust weiter.
Schulungen für Bedrohungsschutz und Cloud-Sicherheit für Beginner
Erhalte eine Einführung in die grundlegenden Kenntnisse, die du benötigst, um Sicherheitsbedrohungen zu stoppen und deine Multi-Cloud-Ressourcen, -Apps und -Daten mit Microsoft Security-Lösungen zu schützen.
Microsoft Training Guide für SIEM und XDR
Dieser Leitfaden führt dich zu kuratierten Schulungs- und Dokumentationsressourcen zu Microsoft Defender und Microsoft Sentinel, die dir helfen der sich entwickelnden Bedrohungslandschaft zu begegnen.
Dokumentation zu Azure Active Directory for Customers
Azure Active Directory (Azure AD) for Customers ist eine CIAM (Customer Identity Access Management)-Lösung, mit der du sichere, angepasste Anmeldeoberflächen für deine kundenorientierten Anwendungen und Dienste erstellen kannst.
Beispiele für die Kundenidentitäts- und Zugriffsverwaltung (CIAM) in Azure Active Directory
Microsoft bietet Codebeispiele an, die dir zeigen, wie du verschiedene Anwendungstypen mit Azure AD integrieren kannst.
„Ich bin überzeugt, dass Microsoft eine Verantwortung hat, die digitalen Systeme zu schützen, die die Grundlage für das soziale Gefüge unserer Gesellschaft bilden.“
Weiterführende Ressourcen zum Thema Sicherheit
Noch mehr rund um die Entwicklung sicherer Anwendungen gibt es auf diesen Seiten – klick dich durch zahlreiche Blogbeiträge, lass dich von den Erfahrungen renommierter Unternehmen inspirieren und hol dir auf Produkt- und Technologieseiten tiefergehende Informationen.
Developer Flash
Der kostenlose Developer Flash informiert dich monatlich über neue Technologien, Produkte und Services sowie über Veranstaltungen, Testversionen, Downloads, Schulungen, Zertifizierungen und technische Bits für Developer.
The free Developer Flash gives you monthly updates on new technologies, products and services, as well as events, trials, downloads, training, certifications and technical bits for developers.
IT Pro Flash
Der kostenlose IT Pro Flash informiert dich monatlich über Produktneuheiten, Veranstaltungen, Testversionen, Tools, Downloads, Schulungen, Zertifizierungen sowie technische Ressourcen für IT-Professionals.
The free IT Pro Flash gives you monthly updates on product news, events, trials, tools, downloads, training, certifications, and technical resources for IT professionals.
Microsoft.Source
Der kostenfreie Newsletter versorgt dich regelmäßig mit spannenden Ressourcen, Community-Beiträgen und Events rund um die Entwicklung auf und mit der Microsoft-Plattform.
The free newsletter provides you regularly with valuable resources, community articles and events around development on and with the Microsoft platform.
