Navigation überspringen

DevSecOps

Erstellen Sie sichere Apps auf einer vertrauenswürdigen Plattform. Betten Sie die Sicherheit in Ihren Entwicklerworkflow ein, und fördern Sie die Zusammenarbeit zwischen Entwicklern, Sicherheitsexperten und IT-Operatoren.

Sichere Bereitstellung innovativer Apps im DevOps-Tempo

Da neue Typen von Cybersicherheitsangriffen zunehmen, sollten Sie Ihre Entwicklungsumgebung und die Softwarelieferkette härten, indem Sie die Sicherheit frühzeitig im Entwicklungszyklus integrieren. DevSecOps kombiniert GitHub- und Azure-Produkte und -Dienste, um die Zusammenarbeit zwischen DevOps- und SecOps-Teams zu fördern. Nutzen Sie die vollständige Lösung, um sicherere, innovative Apps mit DevOps-Geschwindigkeit bereitzustellen.

Tragen Sie zum Schutz Ihrer Umgebung bei, indem Sie alle Personen in Ihrer Organisation in die Entwicklung und den Betrieb sicherer Anwendungen einbeziehen. Beim „Shift Left“-Ansatz für die Sicherheit geht es darum, dass Sicherheitsaspekte bereits in den ersten Entwicklungsphasen integriert werden, von der Planung bis hin zur Entwicklung, Paketerstellung und Bereitstellung. Erkennen Sie potenzielle Sicherheitsrisiken automatisch zum Zeitpunkt der Codeüberprüfung, indem Sie Sicherheitsfeatures in den Entwicklerworkflow mit Microsoft Visual Studio und GitHub integrieren.

Erzielen Sie eine bessere Kontrolle über Ihre Softwarelieferkette, wenn Sie Drittanbietercode und Open-Source-Software für Ihre Anwendungen verwenden. Entwickeln Sie Ihre Apps mit Azure- und GitHub-Produkten und -Diensten, die Ihren Code in der Produktion untersuchen und verwendete Drittanbieterkomponenten nachverfolgen, um die Sicherheit zu erhöhen.

Nutzen Sie eine Vielzahl von Azure-Diensten, mit denen Sie Ihre Anwendungen einfach und sicher betreiben können. Führen Sie Ihren Code auf verwalteten Anwendungsplattformen (einschließlich Kubernetes) aus, und nutzen Sie vertrauenswürdige Dienste, um Ihre Schlüssel, Token und Geheimnisse noch sicherer zu verwalten. Setzen Sie Richtlinien ein, um das Vertrauen in die Sicherheit Ihrer Umgebung zu steigern. Sorgen Sie für flüssige, sichere Abläufe, indem Sie Echtzeitüberwachungslösungen für Ihre Anwendungen und Infrastruktur einsetzen.

Schützen Sie Ihre Anwendung, Ihren Code und Ihre Infrastruktur mit einer strikten Zugriffssteuerung. Azure bietet führende Identitätsdienste für die internen Benutzer Ihrer Organisation und für externe Consumer, die auf Ihre Anwendungen zugreifen. Nutzen Sie die DevSecOps-Tools und -Identitätsplattform, um den Zugriff auf Ihren Code in GitHub zu sichern, differenzierte Berechtigungen für Azure-Ressourcen zu verwalten und Authentifizierungs- und Autorisierungsdienste für Ihre Anwendungen anzubieten.

Nutzen Sie einen vollständigen Satz an Produkten und Diensten, oder wählen Sie nur die benötigten Produkte und Dienste aus.

Erhalten Sie erweiterte Funktionen, mit denen Sie den Code und die Abhängigkeiten Ihrer App mit GitHub schützen können, der weltweit beliebtesten Entwicklerplattform.

  • Identifizieren Sie Sicherheitsrisiken in Ihrem Code mit GitHub Advanced Security und CodeQL, der branchenführenden Engine zur semantischen Analyse von Code.
  • Identifizieren und beheben Sie Sicherheitsprobleme in ihren Abhängigkeiten mithilfe von Dependabot für Sicherheitsbenachrichtigungen und automatisierten Sicherheitsupdates.
  • Erhalten Sie Warnungen mittels Geheimnisscans, wenn Anmeldeinformationen und Tokens unbeabsichtigt in die Quellcodeverwaltung committet werden.

Erstellen Sie zuverlässig produktionsbereite Containerimages mit vollständiger End-to-End-Nachverfolgbarkeit. Mit Azure Pipelines für Continuous Integration und Continuous Delivery (CI/CD) wird Ihr Code bei jedem Commit kompiliert, in einen Docker-Container gepackt und automatisch in einer Testumgebung bereitgestellt. Verfolgen Sie die Commits, Arbeitselemente und Artefakte jedes Images nach, um den in Ihrer Umgebung ausgeführten Code zu verstehen.

Verwenden Sie GitHub Actions zum Automatisieren und Ausführen von Softwareworkflows für jedes GitHub-Ereignis wie Push, Problemerstellung oder ein neues Release. Kombinieren und konfigurieren Sie Aktionen für die von Ihnen verwendeten Dienste, und sparen Sie Zeit mit Matrixworkflows, die gleichzeitig über mehrere Betriebssysteme hinweg testen. Erstellen und testen Sie Code, und stellen Sie ihn mit Unterstützung für eine beliebige Sprache Ihrer Wahl bereit.

Erstellen, speichern, sichern, scannen, replizieren und verwalten Sie Containerimages und Artefakte mit Azure Container Registry. Identifizieren Sie anfällige Containerimages in Ihren CI/CD-Workflows mit automatischem Scannen mittels Microsoft Defender for Cloud.

Beginnen Sie mit der sicheren Konfiguration Ihrer Cloudinfrastruktur als Code (Infrastructure as Code, IaC) mit Azure Resource Manager (ARM) oder anderen Vorlagen für das schnelle Onboarding von Entwicklern mit minimalem Aufwand. Wenden Sie Vorlagenkonfigurationen an und erzwingen Sie diese, um die konsistente Sicherheit in der gesamten Organisation gewährleisten, gekoppelt mit dem IaC-Vorlagenscanning von Microsoft Defender for DevOps, um Cloudfehlkonfigurationen zu minimieren, die Produktionsumgebungen erreichen.

Stellen Sie Ihren AKS-Cluster direkt aus Ihrer CI/CD-Pipeline bereit, indem Sie Infrastructure-as-Code-Lösungen wie Terraform verwenden.

Integrieren Sie Azure Policy in AKS, um die Compliance Ihrer Vorgänge sicherzustellen.

Speichern und verwalten Sie Schlüssel, Zertifikate, Token und andere Geheimnisse sicher mit Azure Key Vault, damit Ihre Anwendungen sie zur Laufzeit laden können, währen Sie gleichzeitig das Risiko der Einbindung von Schlüsseln in den Anwendungscode vermeiden. Erhöhen Sie die Sicherheit auf die Compliance von FIPS 140-2 Ebene 2 und Ebene 3 durch Importieren und Generieren von Schlüsseln in Hardwaresicherheitsmodulen (HSMs).

Kombinieren Sie dies mit Geheimnisscans von GitHub Advanced Security zum Schutz vor Sicherheitsrisiken, die durch pushen von Geheimnissen in Coderepositorys verursacht werden.

Unabhängig davon, ob Sie eine externe oder eine interne branchenspezifische App entwickeln, nutzen Sie die Identitäts- und Zugriffssteuerung über Azure Active Directory (Azure AD).

Beseitigen Sie die Notwendigkeit der Verwaltung der Geheimnisse des Azure-Dienstprinzipals und anderer Cloud-Anmeldeinformationen im GitHub-Geheimnisspeicher mit Azure AD-Identitätsverbundfunktionen für den Workload. Verwalten Sie den gesamten Cloud-Ressourcenzugriff in Azure auf sichere Weise. Diese Funktionen minimieren außerdem das Risiko einer Downtime des Dienstes aufgrund abgelaufener Anmeldeinformationen in GitHub.

Authentifizieren Sie Benutzer beim Verzeichnis Ihrer Organisation, und nutzen Sie erweiterte Sicherheitsfeatures wie Multi-Faktor-Authentifizierung, Azure AD Identity Protection und Berichte zu anomalen Aktivitäten.

Schützen Sie den Zugriff auf Ihre Azure-Ressourcen und das Azure-Portal mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC).

Verwalten Sie den Zugriff auf Ihre Business-to-Consumer-Anwendungen für externe Benutzer mit Azure Active Directory B2C.

Überwachen Sie mit Azure Monitor Ihre Anwendungen und Infrastruktur in Echtzeit. Erkennen Sie Probleme mit Ihrem Code und potenziell verdächtige Aktivitäten und Anomalien.

Azure Monitor ist mit den Releasepipelines in Azure Pipelines integriert, damit Quality Gates oder Rollbacks von Releases anhand von Überwachungsdaten automatisch genehmigt werden können.

Microsoft Defender for Cloud bewertet, sichert und schützt kontinuierlich Azure-, lokale oder Multicloudworkloads und Sicherheitsstatus. Integrieren Sie mit Microsoft Defender for DevOps, um einen vollständigen Einblick in den DevOps-Bestand und den Sicherheitsstatus von Anwendungscode und Ressourcenkonfigurationen vor der Produktion zu ermöglichen.

Erfahren Sie, wie Sie alle Ihre DevOps-Unternehmensumgebungen schützen

Erkunden Sie die ideale sichere Einrichtung von Enterprise DevOps-Tools und -Methoden. Dieses E-Book konzentriert sich speziell auf die Härtung von Entwickler-, DevOps-Plattform- und Anwendungsumgebungen.

Verwandte Produkte

Visual Studio Code

Ein leistungsstarker, schlanker Code-Editor für die Cloudentwicklung

Azure DevOps

Dienste für Teams, die gemeinsamen Code nutzen, Arbeitsschritte nachverfolgen und Software bereitstellen

GitHub Enterprise

Innovationen im richtigen Maßstab durch sicheren Open-Source-Code und Best Practices für Unternehmensprojekte

Azure Key Vault

Schlüssel und andere Geheimnisse schützen und unter Kontrolle halten

Azure Active Directory

Lokale Verzeichnisse synchronisieren und das einmalige Anmelden aktivieren

Azure Monitor

Vollständige Transparenz für Ihre Anwendungen, Infrastrukturen und Netzwerke

Microsoft Defender für Cloud

Schützen Ihrer Multi-Cloud- und Hybridumgebungen

Microsoft Defender für DevOps

Verbinden Sie Sicherheits- und Entwicklungsteams mit einer einheitlicher Sichtbarkeits- und Richtliniensteuerung

DevSecOps in Azure

Wenn Ihr Unternehmen Kunden- oder Klientendaten speichert, entwickeln Sie Lösungen, bei denen in Bezug auf Datenverwaltung und Datenschnittstellen die Sicherheit im Vordergrund steht. DevSecOps setzt mit einer „Shift Left“-Strategie von Anfang an Best Practices in Sachen Sicherheit ein, anstatt erst zum Schluss Prüfschritte einzuplanen.

Lösungsarchitekturen anzeigen

Kunden stellen Innovationen sicher mit DevSecOps bereit

Gjensidige rückt Sicherheit in den Mittelpunkt der neuen Anwendungsplattform

Gjensidige nutzt DevSecOps-Tools, um Entwicklern dabei zu helfen, sichereren Code zu schreiben, bewährte Sicherheitspraktiken zu übernehmen und schnell auf Schwachstellen in der Software-Lieferkette zu reagieren.

Gjensidige

Bereitstellungszeit in DevOps-Geschwindigkeit sicher verkürzen

Um die Bereitstellungszeit zu verbessern, hat CDT Azure und GitHub für DevSecOps-Prozesse, CI/CD und Infrastruktur implementiert. Jetzt können die CDT-Teams schneller und sicherer zusammenarbeiten und Code veröffentlichen.

California Department of Technology

IT-Beratung, unterstützt von DevSecOps

"As part of the best practices for DevSecOps, we recommend our DevSecOps platform, methods, and GitHub as a key part of this ecosystem. As our customers' processes mature, we expect to see more and more use of GitHub Enterprise."

Naresh Choudhary, Vice President of Reuse and Tools, Infosys
Infosys

Einführung von Sicherheit als Unternehmenskultur mit DevSecOps

"The culture of the company has been built from communication and interactions where security is everyone's responsibility. Whether you're an engineer or you're a product manager, you have to care about security, just like you have to care about the functionality and quality of the product."

Emilio Escobar, Chief Information Security Officer, Datadog
DataDog

Erste Schritte mit DevSecOps

Erfahren Sie, wie Sie DevSecOps mit GitHub und Azure aktivieren.

Weitere Informationen zur Cloudsicherheit

Erfahren Sie, wie Sie Ihre Multicloud-Apps und -Ressourcen schützen.

Bereit, wenn Sie es sind

Dann richten Sie Ihr kostenloses Azure-Konto ein.

Können wir Ihnen helfen?