DevSecOps

Integre la seguridad en cada aspecto del ciclo de vida de la entrega de software.

Lea la documentación

Explore los productos y servicios de Microsoft que habilitan un DevOps seguro

Con el aumento de las ciberamenazas, los equipos que crean y administran aplicaciones se enfrentan a importantes desafíos nuevos cada día. Vea cómo ofrece Microsoft una solución completa que habilita DevSecOps, o DevOps seguro, para las aplicaciones en la nube (y en cualquier lugar) con Azure y GitHub.

La creación y la administración de aplicaciones seguras es un trabajo que requiere la implicación de todos, desde el equipo de desarrollo hasta el de operaciones y el de soporte técnico.

El concepto de seguridad desde las primeras fases exige la capacitación (y la responsabilidad) de los equipos para que tengan en cuenta la seguridad desde las primeras fases del planeamiento hasta el desarrollo, el empaquetado y la implementación de las aplicaciones.

Aunque se trata de un cambio tanto cultural como de herramientas, Microsoft puede ayudar con los productos y servicios de Azure y GitHub.

Casi todas las aplicaciones nuevas que se crean aprovechan código escrito por terceros, incluidos componentes de código abierto, al menos de alguna forma. Aunque esto aporta ciertas ventajas claras, porque permite una mayor productividad y una mejor colaboración, también crea dificultades en cuanto al control y la protección de la cadena de suministro de software.

Microsoft y GitHub ofrecen soluciones que le permiten confiar en el código que ejecuta en producción, ya que inspeccionan el código y permiten su trazabilidad hasta los elementos de trabajo y la información de los componentes de terceros que se utilizan.

Con Azure, puede aprovechar un amplio conjunto de servicios con los que será más cómodo y seguro operar sus aplicaciones.

Ejecute el código en plataformas de aplicaciones administradas, incluido Kubernetes, y aproveche servicios de confianza para administrar sus claves, tokens y secretos de forma segura. Aumente la confianza en la seguridad de su entorno con directivas. A continuación, asegure unas operaciones fluidas y seguras aprovechando las soluciones de supervisión en tiempo real para las aplicaciones y la infraestructura.

Un control estricto del acceso suele ser el primer paso para proteger las aplicaciones, el código y la infraestructura. Azure ofrece servicios de identidad extraordinarios, tanto para los usuarios de su organización como para los clientes externos que accedan a sus aplicaciones.

Aproveche nuestra plataforma de identidad para proteger el acceso al código en GitHub, administrar los permisos para los recursos de Azure de forma pormenorizada e incluso ofrecer servicios de autenticación y autorización para sus aplicaciones.

Aproveche un conjunto completo de productos y servicios

O elija solo los que más se ajusten a su caso

Las aplicaciones seguras empiezan por un código seguro, pero la protección del código no suele ser suficiente. Administrar la cadena de suministro de software con confianza es tan importante como asegurarse de que el código sea seguro.

GitHub, la plataforma de desarrollo más popular del mundo, ofrece características avanzadas que ayudan a proteger el código y las dependencias de las aplicaciones:

  • GitHub Advanced Security utiliza CodeQL, el mejor motor de análisis de código semántico del sector, para identificar vulnerabilidades en el código.
  • Identifique y corrija los problemas de seguridad de las dependencias con alertas de seguridad y actualizaciones de seguridad automatizadas (Dependabot).
  • Obtenga alertas con el examen de los secretos cuando se haga “commit” por error de las credenciales y los tokens en el control de código fuente.

Al usar Azure Pipelines para la integración continua, el código se compila y empaqueta en un contenedor de Docker cada vez que se hace “commit” y se implementa automáticamente en un entorno de prueba con Azure Dev Spaces.

Además, la funcionalidad de entrega continua de Azure Pipelines permite crear con confianza imágenes de contenedor listas para producción con una trazabilidad completa. Puede realizar un seguimiento de los commits, los elementos de trabajo y los artefactos de cada imagen para conocer bien todo el código que se ejecuta en su entorno.

Las imágenes de contenedor de producción se almacenan en Azure Container Registry, donde se examinan automáticamente en busca de vulnerabilidades gracias a la integración con Azure Security Center.

AKS ofrece un clúster de Kubernetes mantenido y protegido por Microsoft.

Puede implementar un clúster de AKS directamente desde su canalización de CI/CD, usando soluciones de infraestructura como código (por ejemplo, Terraform).

Integre Azure Policy con AKS para asegurarse de que las operaciones sean conformes.

Para los entornos de desarrollo y pruebas, Azure Dev Spaces puede aprovisionar un clúster de Kubernetes de prueba para cada compilación y en respuesta a una solicitud de incorporación de cambios.

Las aplicaciones pueden aprovechar Azure Key Vault para almacenar de forma segura las claves, los certificados, los tokens y otros secretos, de modo que las aplicaciones puedan cargarlos en tiempo de ejecución. Esta es una alternativa más segura que incluirlas en el código de las aplicaciones.

Tanto si crea una aplicación orientada a usuarios externos como si crea una aplicación de línea de negocio interna, puede aprovechar Azure Active Directory (Azure AD) para administrar la identidad y el control del acceso de forma segura.

Utilice Azure AD para la autenticación en el directorio de su organización y aproveche así sus características de seguridad avanzadas, como Multi-Factor Authentication, Identity Protection y los informes de actividad anómala.

En el caso de las aplicaciones orientadas a usuarios externos, Azure AD B2C permite administrar cómodamente la autenticación y la autorización de los usuarios externos, incluso con cuentas de redes sociales.

Azure AD también protege el acceso a los recursos de Azure y a Azure Portal, gracias al control de acceso pormenorizado basado en rol.

Con Azure Monitor, puede supervisar las aplicaciones y la infraestructura en tiempo real para identificar problemas con el código y posibles anomalías y actividades sospechosas.

Azure Monitor se integra con las canalizaciones de versión de Azure Pipelines para habilitar la aprobación automática de controles de calidad o la reversión de un lanzamiento en función de los datos de supervisión.

Más información acerca de los productos y servicios de DevSecOps

¿Le interesa DevOps? Conozca las soluciones de DevOps de Microsoft

Más información

DevSecOps en Azure

La seguridad es una de las principales preocupaciones de las empresas que almacenan cualquier tipo de datos personalizados o de clientes. La solución que cubra la administración y la interfaz de estos datos debe desarrollarse teniendo en cuenta la seguridad. DevSecOps implica el uso de prácticas recomendadas de seguridad desde el principio del desarrollo, lo que retira el foco de atención de la auditoría al final para desplazarlo hacia un desarrollo con una estrategia de seguridad desde las primeras fases.

¿Está preparado para comenzar a usar DevSecOps?

Lea la documentación