Sicherheit
Sicher ist sicher
Distributed Denial of Service (DDoS), Cross-Site Scripting, Angriffe auf Passwörter, Einschleusung von Schadsoftware und SQL-Injection sind nur einige der Angriffsformen, mit denen sich Developer auseinandersetzen sollten. Der Microsoft Digital Defense Response Report aus dem Jahr 2022 zeigt, dass diese Angriffe immer mehr zunehmen. Laut Bitkom lag der Gesamtschaden der attackierten Unternehmen in Deutschland 2020/2021 bei über 200 Milliarden Euro. Dabei sind rund neun von zehn Unternehmen von einem Angriff betroffen. Ziel muss es also sein, Sicherheitslücken zu vermeiden, die Angriffsfläche zu verringern und die Cyber-Resilienz zu erhöhen. Auch du als Developer kannst dabei helfen.
Security bzw. sicherheitsrelevante Aspekte sollten bereits in der Planungs- und der Entwicklungsphase einer App oder einer Softwarelösung eine entscheidende Rolle spielen – egal mit welcher Programmiersprache, welchem Framework und für welche Plattform du entwickelst. Wir bei Microsoft unterstützen dich dabei mit verschiedenen Angeboten, Tools, Anleitungen und Best Practices.
Unabhängig von den Maßnahmen während Entwicklung und Betrieb einer Anwendung, kannst du dich an diesen Punkten orientieren:
Trainiere das Team
Stelle sicher, dass alle Teammitglieder die Security-Maßnahmen verstehen.
Definiere die Anforderungen
Lege eine Sicherheits-Baseline fest, die in den DevOps-Prozess und die Pipeline aufgenommen wird.
Definiere Metriken und Compliance-Vorgaben
Lege spezifische Metriken fest, um Maßnahmen voranzutreiben und Compliance-Ziele zu unterstützen.
Verwende Software Composition Analysis (SCA) und Governance
Analysiere und inventarisiere die Komponenten von Drittanbietern und erstelle einen Plan zur Bewertung gemeldeter Schwachstellen.
Führe eine Bedrohungsmodellierung durch
Nutze eine Bedrohungsmodellierung, um Sicherheitsschwachstellen zu identifizieren, das Risiko zu bestimmen und ggf. Abhilfe zu schaffen.
Nutze Tools und Automatisierung
Wähle Tools und intelligente Automatisierung aus, um dein Team zu unterstützen und Konsistenz zu gewährleisten.
Schütze deine Credentials
Vermeide es, „Geheimnisse“ im Code zu verstecken, denn der Anwendungscode kann nicht vor Angreifern geschützt werden.
Setze auf kontinuierliche Überwachung
Überwache deine Anwendungen auf Leistungs- und Sicherheitsprobleme, um die Zeit bis zur Erkennung und Eindämmung von Angriffen zu verkürzen.
DevSecOps – Sicherheit als fester Bestandteil des Entwicklungszyklus
Bei der Entwicklung von Apps und anderen Softwarelösungen solltest du auf einen mehrschichtigen Sicherheitsansatz setzen, der den Code, die Release Pipelines, Runtimes und Datenbanken mit einschließt. Ein Ansatz, der hierfür aktuell genutzt wird, ist DevSecOps, also die Integration von Sicherheitsmethoden und -tools in einen DevOps-Prozess. Dabei solltest du beachten, dass dies kein einmaliger Aufwand ist, sondern ein kontinuierlicher und fortlaufender Prozess, der alle Teammitglieder in der Entwicklung und IT betrifft.
Die Integration der Sicherheit sollte daher Schritt für Schritt erfolgen, am besten beginnend mit den Änderungen, die die größten Auswirkungen auf die Sicherheit haben, aber nur geringe Belastung für den eigentlichen Entwicklungsprozess mit sich bringen. Da sich Entwicklungsprozesse von Team zu Team stark unterscheiden können, musst du individuell entscheiden, welche Maßnahmen für dein Projekt am besten geeignet sind. Unsere gesammelten Ressourcen helfen dir dabei. Grundsätzlich kannst du dich aber an diesen Punkten orientieren, aufgeteilt in fünf Phasen deines Development Lifecycles.
Fünf Phasen deines Development Lifecycles
- Bedrohungsmodellierung
- Hooks vor dem Commit
- IDE Security Plugins
- Sichere Programmierstandards
- Peer Reviews
- Schützen von Pipelines
- Statische Sicherheitstests
- Funktionale und Unit Tests
- Verwaltung von Abhängigkeiten
- Dynamische Sicherheitstests
- Überprüfen von Cloudkonfiguration
- Scannen der Infrastruktur
- Security Acceptance Testing
- Security Smoke Tests
- Check der Konfiguration
- Penetrationstests
- Fortlaufendes Monitoring
- Penetrationstests
- Threat Intelligence
Security-Dienste auf Microsoft Azure
Einer der vielen Pluspunkte von Microsoft Azure sind die zahlreichen Sicherheitstools und -funktionen, die über die Plattform zur Verfügung gestellt werden. Diese ermöglichen dir die Entwicklung sicherer Lösungen auf einer sicheren Plattform. Dabei decken sie auch eine Vielzahl von sicherheitsrelevanten Themenfeldern ab: Zugriffsverwaltung, Schutz von sensiblen Daten, Schutz vor Cyberattacken, Verwaltung von Identitäten und viele mehr.
Einer der wichtigsten Aspekte, auch für die Entwicklung sicherer Softwarelösungen, ist die Identitäts- und Zugriffsverwaltung. Hierfür steht dir mit Azure Active Directory (AAD) ein umfassender Dienst zur Verfügung, mit dem du Punkte wie Single Sign-On, Multi-Faktor-Authentifizierung und Conditional Access umsetzen kannst. Schaue dir beispielsweise diese AAD-Angebote an:
Azure Active Directory
Azure Active Directory ist ein cloudbasiertes Repository für die Authentifizierungsaufgaben, das ein Verzeichnis mit mehreren Mandanten sowie Verwaltungsdienste für mehrere Identitäten auf Azure unterstützt.
Azure Active Directory B2C
Azure Active Directory B2C ist ein Identitätsverwaltungsdienst, mit dem du die Registrierung und Anmeldung von Kunden und deren Verwaltung bei Azure-Anwendungen steuern kannst.
Azure AD Multi-Factor Authentication
Azure AD Multi-Factor Authentication ist ein Sicherheitsmechanismus, der verschiedene Formen der Authentifizierung und Überprüfung anwendet, bevor der Zugriff auf abgesicherte Informationen zugelassen wird.
Azure hat aber noch viele weitere hilfreiche Security-Dienste im Angebot, besonders interessant könnten die folgenden Angebote für dich sein:
Azure DDoS Protection
Schütze deine Azure-Ressourcen vor verteilten Denial-of-Service-Angriffen.
Azure Web Application Firewall
Nutze den cloudnativen Firewall-Dienst für einen leistungsstarken Schutz von Web Apps.
Key Vault
Sichere kryptografische Schlüssel und andere Geheimnisse, die von Cloudanwendungen und -Diensten verwendet werden.
Application Gateway
Erstelle sichere, skalierbare und hochverfügbare Web-Frontends auf Azure.
Microsoft Defender for Cloud
Schütze deine Multi-Cloud- und Hybrid-Umgebungen.
Microsoft Defender for DevOps
Profitiere von einer durchgängigen DevOps-Sicherheitsverwaltung in Multi-Cloud- und Multi-Pipeline-Umgebungen.
Azure Firewall
Schütze deine Azure Virtual Network-Ressourcen auf Basis von cloudnativer Netzwerksicherheit.
Die wichtigsten News der Kalenderwoche 20/2024: Microsoft Azure, Security und mehr
Nur noch eine Woche: Melde dich jetzt für die Microsoft Build an!
Offiziell verfügbar: Microsoft Entra External ID
Die wichtigsten News der Kalenderwoche 18/2024: KI, Security, GitHub und mehr
Die wichtigsten News der Kalenderwoche 17/2024: KI, Phi-3, Security und mehr
For Developers, by Developers – melde dich jetzt für die Microsoft Build an!
Microsoft Security Virtual Training Day: Defend Against Threats with Extended Detection and Response
Microsoft Build
Microsoft Tech Talks - XDR - Supercharge your SOC efficiency with XDR
Microsoft 365 Virtual Training Day: Manage Windows and Surface Devices with Intune
Microsoft Fragestunde: Datenschutz & Datensicherheit | Für öffentliche Einrichtungen, Verwaltung und (Hoch-)Schulen
Microsoft Tech Talks - Guardians of the Cloud: Unveiling the Power of Microsoft Sentinel and CSPM
Sichere Entwicklung von Anwendungen – passende Ressourcen für jedes Skill-Level
Ganz egal, ob du sichere Anwendungen auf Azure entwickeln willst, deine .NET-Anwendungen besser vor Angriffen schützen möchtest oder dich für DevSecOps interessierst – mit unseren umfangreichen Ressourcen wie E-Books,Tutorials und Kursen kannst du das passende Wissen aufbauen.
Wie Microsoft die Verwendung der mehrstufigen Authentifizierung als Teil einer Cybersicherheitslösung unterstützt
Dieser Lernpfad bietet dir eine gute Übersicht über die Verwendung einer mehrstufigen Authentifizierung als Teil einer Cybersicherheitslösung.
DevSecOps-Kontrollen
In dieser Dokumentation erfährst du mehr über die einzelnen Phasen eines CI/CD-DevOps-Prozesses und die Sicherheitskontrollen, die zuerst integriert werden sollten.
DevSecOps in Azure
DevSecOps priorisiert die Sicherheit während der Entwicklung und im Betrieb. Wirf einen Blick in die Dokumentation zu DevSecOps auf Azure.
DevSecOps mit GitHub Security
Mit vielen Sicherheitsfunktionen bietet GitHub verschiedene Tools, die jeden Teil eines DevSecOps-Workflows unterstützen. Hier findest du eine gute Einführung.
Implementieren der Sicherheit und Überprüfen von Codebasen auf Compliance
In diesem Lernpfad werden eine Infrastruktur- und Konfigurationsstrategie und ein geeignetes Toolset für eine Release Pipeline und Anwendungsinfrastruktur untersucht.
Einführung zur Blockchain
Erfahre in diesen Videos, wie die Blockchain-Technologie funktioniert, erkunde Kryptowährungen und lerne mehr über Mining und Transaktionen.
Security best practices for Azure solutions
Dieses Dokument bietet dir eine Sammlung bewährter Sicherheitspraktiken, die du bei der Entwicklung, Bereitstellung und Verwaltung deiner Cloud-Lösungen mit Azure nutzen kannst.
Azure-Sicherheit – bewährte Methoden
Profitiere von empfohlenen Sicherheitsmethoden, die auf Kundenerfahrungen in deren eigenen Umgebungen basieren.
„Ich bin überzeugt, dass Microsoft eine Verantwortung hat, die digitalen Systeme zu schützen, die die Grundlage für das soziale Gefüge unserer Gesellschaft bilden.“
Weiterführende Ressourcen zum Thema Sicherheit
Noch mehr rund um die Entwicklung sicherer Anwendungen gibt es auf diesen Seiten – klick dich durch zahlreiche Blogbeiträge, lass dich von den Erfahrungen renommierter Unternehmen inspirieren und hol dir auf Produkt- und Technologieseiten tiefergehende Informationen.
Developer Flash
Der kostenlose Developer Flash informiert dich monatlich über neue Technologien, Produkte und Services sowie über Veranstaltungen, Testversionen, Downloads, Schulungen, Zertifizierungen und technische Bits für Developer.
The free Developer Flash gives you monthly updates on new technologies, products and services, as well as events, trials, downloads, training, certifications and technical bits for developers.
IT Pro Flash
Der kostenlose IT Pro Flash informiert dich monatlich über Produktneuheiten, Veranstaltungen, Testversionen, Tools, Downloads, Schulungen, Zertifizierungen sowie technische Ressourcen für IT-Professionals.
The free IT Pro Flash gives you monthly updates on product news, events, trials, tools, downloads, training, certifications, and technical resources for IT professionals.
Microsoft.Source
Der kostenfreie Newsletter versorgt dich regelmäßig mit spannenden Ressourcen, Community-Beiträgen und Events rund um die Entwicklung auf und mit der Microsoft-Plattform.
The free newsletter provides you regularly with valuable resources, community articles and events around development on and with the Microsoft platform.
