Navigation überspringen

DevSecOps

Schützen Sie alle Aspekte des Softwarebereitstellungszyklus mit integrierten Sicherheitsfunktionen.

Dokumentation lesen

Microsoft-Produkte und -Dienste für sichere DevOps-Ansätze

Mit dem verstärkten Aufkommen von Cyberbedrohungen stehen Teams, die Anwendungen entwickeln und betreiben, täglich vor neuen Herausforderungen. Lernen Sie die vollständige Microsoft-Lösung für DevSecOps (Secure DevOps, sicherer DevOps-Ansatz) kennen, die über Azure und GitHub für lokale Anwendungen und Cloudanwendungen verfügbar ist.

In die Entwicklung und den Betrieb sicherer Anwendungen müssen alle Abteilungen eingebunden werden: von der Entwicklung über den Betrieb bis hin zum Support.

Beim Shift-Left-Sicherheitskonzept müssen Teams in allen Phasen, also bei der Planung und Entwicklung sowie beim Packen und Bereitstellen der Anwendung, die Sicherheit im Blick haben. Zudem müssen entsprechende Verantwortlichkeiten zugeteilt werden.

Hierfür muss zwar eher eine neue Kultur als neue Tools eingeführt werden, doch Microsoft bietet unterstützende Produkte und Dienste über Azure und GitHub.

Für fast alle neu entwickelten Anwendungen wird Code von Drittanbietern genutzt, das gilt auch für Open-Source-Komponenten. Dieser Ansatz bietet deutliche Vorteile, denn er steigert die Produktivität und verbessert die Zusammenarbeit. Es entstehen jedoch auch Herausforderungen in Bezug auf das Steuern und Sichern der Softwarelieferkette.

Microsoft und GitHub bieten sichere Codelösungen, die Sie in der Produktion ausführen können. Der Code wird überprüft, sodass er bis zu den Arbeitselementen und Daten der verwendeten Drittanbieterkomponenten zurückverfolgt werden kann.

Mit Azure steht Ihnen eine Vielzahl von Diensten zur Verfügung, mit denen Sie Ihre Anwendungen einfacher und sicherer betreiben können.

Führen Sie Ihren Code auf verwalteten Anwendungsplattformen (einschließlich Kubernetes) aus, und nutzen Sie vertrauenswürdige Dienste, um Ihre Schlüssel, Token und Geheimnisse sicher zu verwalten. Setzen Sie Richtlinien ein, um das Vertrauen in die Sicherheit Ihrer Umgebung zu steigern. Anschließend können Sie für flüssige, sichere Abläufe sorgen, indem Sie Echtzeitüberwachungslösungen für Ihre Anwendungen und Infrastruktur einsetzen.

Eine strikte Zugriffssteuerung ist häufig der erste Schritt auf dem Weg zum Schutz Ihrer Anwendungen, Infrastruktur und Ihres Codes. Azure bietet führende Identitätsdienste für interne Organisationsbenutzer und externe Benutzer, die auf Ihre Anwendungen zugreifen.

Nutzen Sie unsere Identitätsplattform, um den Zugriff auf GitHub-Code zu sichern, Berechtigungen für Azure-Ressourcen präzise zu verwalten und Authentifizierungs- und Autorisierungsdienste für Ihre Anwendungen anzubieten.

Nutzen Sie die gesamte Produkt- und Dienstpalette

Oder wählen Sie nur relevante Angebote aus

Die Grundlage für jede sichere Anwendung ist sicherer Code, doch häufig ist das noch nicht ausreichend. Eine zuverlässige und sichere Softwarelieferkette ist genauso wichtig wie sicherer Code.

GitHub ist die weltweit beliebteste Entwicklerplattform und bietet erweiterte Features, mit denen Sie den Code und die Abhängigkeiten Ihrer Anwendung schützen können:

  • GitHub Advanced Security nutzt CodeQL, die branchenführende Analyse-Engine für Codesemantik, um Sicherheitsrisiken im Code zu ermitteln.
  • Identifizieren und beheben Sie Sicherheitsprobleme in ihren Abhängigkeiten mithilfe von Sicherheitswarnungen und automatisierten Sicherheitsupdates (Dependabot).
  • Sie erhalten Warnungen durch Geheimnisscans, wenn Anmeldeinformationen und Tokens unbeabsichtigt in die Quellcodeverwaltung committet werden.

Wenn Sie Azure Pipelines für Continuous Integration einsetzen, wird Ihr Code bei jedem Commit kompiliert, in einen Docker-Container gepackt und über Azure Dev Spaces automatisch in einer Testumgebung bereitgestellt.

Darüber hinaus ermöglichen die Continuous-Delivery-Funktionen von Azure Pipelines die zuverlässige Erstellung produktionsreifer Containerimages, die vollständig nachverfolgbar sind. Sie können die Commits, Arbeitselemente und Artefakte jedes Images zurückverfolgen und sich so einen Überblick über den gesamten Code verschaffen, der in Ihrer Umgebung ausgeführt wird.

Die Images für Produktionscontainer werden in Azure Container Registry gespeichert. Dort werden Sie dank der Integration mit Azure Security Center automatisch auf Sicherheitsrisiken gescannt.

AKS bietet einen von Microsoft verwalteten und gesicherten Kubernetes-Cluster.

Sie können Ihren AKS-Cluster direkt über Ihre CI/CD-Pipeline bereitstellen, indem Sie Infrastructure-as-Code-Lösungen wie Terraform verwenden.

Integrieren Sie Azure Policy mit AKS, um die Compliance Ihrer Vorgänge sicherzustellen.

Für Entwicklungs- und Testumgebungen kann Azure Dev Spaces einen Kubernetes-Testcluster für jeden Build und als Reaktion auf Pull Requests bereitstellen.

Ihre Anwendungen können Azure Key Vault nutzen, um Schlüssel, Zertifikate, Tokens und andere Geheimnisse sicher zu speichern, sodass diese zur Laufzeit geladen werden können. Diese Variante ist sicherer als die Komponenten in den Anwendungscode zu integrieren.

Unabhängig davon, ob Sie eine externe Anwendung oder eine interne, branchenspezifische Anwendung entwickeln, können Sie die Identitäts- und Zugriffssteuerung über Azure Active Directory (Azure AD) nutzen.

Authentifizieren Sie sich mit Azure AD beim Verzeichnis Ihrer Organisation, und nutzen Sie erweiterte Sicherheitsfeatures wie die mehrstufige Authentifizierung, Identity Protection und Berichte zu anomalen Aktivitäten.

Für externe Anwendungen können Sie mit Azure AD B2C die Authentifizierung und Autorisierung externer Benutzer verwalten, selbst wenn diese Konten für soziale Netzwerke benutzen.

Azure AD schützt mit der differenzierten, rollenbasierten Zugriffssteuerung auch den Zugriff auf Ihre Azure-Ressourcen und das Azure-Portal.

Mit Azure Monitor können Sie Anwendungen und Infrastruktur in Echtzeit überwachen sowie Codeprobleme und potenziell verdächtige Aktivitäten und Anomalien erkennen.

Azure Monitor ist mit den Releasepipelines in Azure Pipelines integriert, damit Quality Gates oder Rollbacks von Releases anhand von Überwachungsdaten automatisch genehmigt werden können.

Informationen zum Integrieren Ihres Sicherheitsteams in ein vorhandenes DevOps-Team

Lesen Sie sechs Tipps zum Integrieren von Sicherheit in Ihre DevOps-Methoden, und erfahren Sie, wie branchenführende Organisationen DevOps für Ihre Geschäfte implementiert haben.

Weitere Informationen zu DevSecOps-Produkten und -Diensten

Interessieren Sie sich für DevOps? Hier finden Sie die DevOps-Lösungen von Microsoft.

Weitere Informationen

DevSecOps in Azure

Die Sicherheit ist für Unternehmen, die benutzerdefinierte Daten oder Kundendaten speichern, ein äußerst wichtiger Aspekt. Beim Entwickeln der Lösung für die Verwaltung und die Interaktion mit diesen Daten sollte der Sicherheitsaspekt berücksichtigt werden. DevSecOps integriert bewährte Sicherheitsmethoden in den gesamten Entwicklungsprozess, sodass der Fokus beim Thema Sicherheit sich vom Auditing am Ende des Prozesses hin zu einer Shift-Left-Strategie bewegt, die von Anfang an angewendet werden kann.

Sind Sie bereit für den Einstieg in DevSecOps?

Dokumentation lesen