Saltar al contenido principal

DevSecOps

Cree aplicaciones seguras en una plataforma de confianza. Inserte seguridad en el flujo de trabajo de desarrollador y fomente la colaboración entre desarrolladores, responsables de seguridad y operadores de TI.

Entrega segura de aplicaciones innovadoras a la velocidad de DevOps

A medida que aumentan los nuevos tipos de ataques de ciberseguridad, refuerce el entorno de desarrollo y la cadena de suministro de software mediante la integración de la seguridad al principio del ciclo de desarrollo. DevSecOps combina productos y servicios de Azure y GitHub para fomentar la colaboración entre los equipos de DevOps y SecOps. Use la solución completa para ofrecer aplicaciones más seguras e innovadoras a la velocidad de DevOps.

Ayude a proteger su entorno al implicar a todos los usuarios de su organización en la creación y el funcionamiento de aplicaciones seguras. La seguridad basada en el "desplazamiento a la izquierda" trata de incorporar el enfoque de seguridad en las primeras fases de desarrollo, desde el planeamiento hasta el desarrollo, el empaquetado y la implementación. Detecte posibles vulnerabilidades de seguridad automáticamente en el momento de revisar el código mediante la integración de la seguridad en el flujo de trabajo del desarrollador con Microsoft Visual Studio y GitHub.

Consiga controlar mejor la cadena de suministro de software al usar código de terceros y software de código abierto para sus aplicaciones. Desarrolle con confianza usando productos y servicios de Azure y GitHub que inspeccionen el código en producción y tracen los componentes de terceros en uso para aumentar la seguridad.

Use un amplio conjunto de servicios de Azure que hacen que el funcionamiento de la aplicación sea más cómodo y seguro. Ejecute el código en plataformas de aplicaciones administradas, incluido Kubernetes, y use servicios de confianza para administrar las claves, los tokens y los secretos de forma más segura. Aumente la confianza en la seguridad de su entorno con directivas. Ayude a garantizar operaciones fluidas y seguras con soluciones de supervisión en tiempo real para sus aplicaciones e infraestructura.

Ayude a proteger la aplicación, el código y la infraestructura con un control de acceso estricto. Azure ofrece servicios de identidad líderes para los usuarios internos y los consumidores externos de su organización que acceden a sus aplicaciones. Use las herramientas de DevSecOps y la plataforma de identidad para proteger el acceso al código en GitHub, administrar permisos granulares para los recursos de Azure y ofrecer servicios de autenticación y autorización para las aplicaciones.

Benefíciese de un conjunto completo de productos y servicios, o elija solo los que necesite

Obtenga características avanzadas que le ayuden a proteger el código y las dependencias de la aplicación con GitHub, la plataforma para desarrolladores más popular del mundo.

  • Identifique vulnerabilidades en el código con GitHub Advanced Security y CodeQL, el mejor motor de análisis de código semántico del sector.
  • Identifique y corrija los problemas de seguridad en las dependencias mediante Dependabot para las alertas de seguridad y las actualizaciones de seguridad automatizadas.
  • Obtenga alertas con el examen de los secretos cuando se haga “commit” por error de las credenciales y los tokens en el control de código fuente.

Cree con confianza imágenes de contenedor listas para producción con una rastreabilidad completa de un extremo a otro. Con Azure Pipelines para la integración continua y la entrega continua (CI/CD), el código se compila y empaqueta en un contenedor Docker en cada confirmación y se implementa automáticamente en un entorno de prueba. Realice un seguimiento de las confirmaciones, los elementos de trabajo y los artefactos de cada imagen para comprender el código que se ejecuta en su entorno.

Use Acciones de GitHub para automatizar y ejecutar flujos de trabajo de software en cualquier evento de GitHub, como inserción, creación de problemas o una nueva versión. Combine y configure acciones para los servicios que usa y ahorre tiempo con flujos de trabajo de matriz que realizan pruebas simultáneamente en varios sistemas operativos. Compile, pruebe e implemente código con compatibilidad para cualquier lenguaje de su elección.

Compile, almacene, proteja, examine, replique y administre imágenes de contenedor y artefactos con Azure Container Registry. Identifique imágenes de contenedor vulnerables en los flujos de trabajo de CI/CD con el análisis automático mediante Microsoft Defender for Cloud.

Comience con la configuración segura de la infraestructura en la nube como código (IaC) con Azure Resource Manager (ARM) u otras plantillas para incorporar rápidamente desarrolladores con una carga mínima. Aplique configuraciones con plantillas que garanticen una seguridad coherente en toda la organización, emparejadas con análisis de plantillas de IaC de Microsoft Defender para DevOps para minimizar las configuraciones incorrectas en la nube que llegan a los entornos de producción.

Implemente un clúster de AKS directamente desde su canalización de CI/CD, usando soluciones de infraestructura como código (por ejemplo, Terraform).

Use Azure Policy con AKS para garantizar que las operaciones son compatibles.

Almacene y administre claves, certificados, tokens y otros secretos de forma segura con Azure Key Vault para que las aplicaciones puedan cargarlos en tiempo de ejecución, a la vez que evita el riesgo de incluir claves dentro del código de las aplicaciones. Mejore la seguridad para el cumplimiento de FIPS 140-2 nivel 2 y nivel 3 mediante la importación y generación de claves en módulos de seguridad de hardware (HSM).

Combine con el análisis de secretos de GitHub Advanced Security para proteger contra vulnerabilidades causadas por la inserción de secretos en repositorios de código.

Tanto si va a crear una aplicación de línea de negocio externa como interna, use Azure Active Directory (Azure AD) para administrar la identidad y el control de acceso.

Elimine la necesidad de administrar los secretos de la entidad de servicio de Azure y otras credenciales en la nube en el almacén de secretos de GitHub con las funcionalidades de federación de identidades de carga de trabajo de Azure AD. Administre todo el acceso a los recursos en la nube de forma más segura en Azure. Estas funcionalidades también minimizan el riesgo de tiempo de inactividad del servicio debido a las credenciales expiradas en GitHub.

Autentique a los usuarios con el directorio de su organización y confíe en características de seguridad avanzadas como la autenticación multifactor, Azure AD Identity Protection e informes de actividad anómala.

Ayude a proteger el acceso a los recursos de Azure y a Azure Portal con el control de acceso basado en rol (RBAC) pormenorizado.

Administre el acceso a las aplicaciones de negocio a consumidor para usuarios externos con Azure Active Directory B2C.

Supervise la aplicación y la infraestructura en tiempo real mediante Azure Monitor. Identifique problemas con el código y actividades y anomalías potencialmente sospechosas.

Azure Monitor se integra con las canalizaciones de versión de Azure Pipelines para habilitar la aprobación automática de controles de calidad o la reversión de un lanzamiento en función de los datos de supervisión.

Microsoft Defender for Cloud evalúa, protege y defiende continuamente las cargas de trabajo y las posiciones de seguridad de Azure, locales o multinube. Integre con Microsoft Defender para DevOps para proporcionar visibilidad completa del inventario de DevOps y la posición de seguridad de las configuraciones de recursos y código de aplicación de preproducción.

Aprenda a proteger todos los entornos de DevOps empresariales

Explore la configuración segura ideal de las herramientas y prácticas de Enterprise DevOps. Este libro electrónico se centra específicamente en la protección de entornos de desarrollador, plataforma de DevOps y aplicaciones.

Productos relacionados

Visual Studio Code

Un editor de código potente y ligero para el desarrollo en la nube

Azure DevOps

Servicios para que los equipos compartan código, supervisen el trabajo y distribuyan software

GitHub Enterprise

Innove a gran escala con la incorporación segura de código abierto y procedimientos recomendados a sus proyectos empresariales.

Azure Key Vault

Proteja y mantenga el control de las claves y otros secretos

Azure Active Directory

Sincronice los directorios locales y habilite el inicio de sesión único

Azure Monitor

Visibilidad total de las aplicaciones, la infraestructura y la red

Security Center

Proteja sus entornos de nube híbrida y multinube

Microsoft Defender para DevOps

Conecte los equipos de seguridad y desarrollo con visibilidad unificada y control de directivas

DevSecOps en Azure

Si su empresa almacena datos personalizados o de cliente, desarrolle soluciones para abarcar la administración y la interfaz de estos datos con la seguridad en mente. DevSecOps usa procedimientos recomendados de seguridad desde el principio del desarrollo, en lugar de realizar auditorías al final, mediante una estrategia de desplazamiento a la izquierda.

Ver la arquitectura de la solución

Los clientes ofrecen innovación de forma segura con DevSecOps

Gjensidige pone la seguridad al frente en la nueva plataforma de aplicaciones

Gjensidige usa herramientas de DevSecOps para ayudar a los desarrolladores a escribir código más seguro, adoptar procedimientos recomendados de seguridad y responder rápidamente a las vulnerabilidades de la cadena de suministro de software.

Gjensidige

Reducción segura del tiempo de implementación a la velocidad de DevOps

Para mejorar el tiempo de implementación, CDT implementó Azure y GitHub para sus procesos de DevSecOps, CI/CD e infraestructura. Ahora sus equipos pueden colaborar y publicar código de forma más rápida y segura.

Departamento de Tecnología de California

Consultoría de TI, con tecnología de DevSecOps

"As part of the best practices for DevSecOps, we recommend our DevSecOps platform, methods, and GitHub as a key part of this ecosystem. As our customers' processes mature, we expect to see more and more use of GitHub Enterprise."

Naresh Choudhary, vicepresidente de reutilización y herramientas, Infosys
Infosys

Adopción de la seguridad como cultura empresarial con DevSecOps

"The culture of the company has been built from communication and interactions where security is everyone's responsibility. Whether you're an engineer or you're a product manager, you have to care about security, just like you have to care about the functionality and quality of the product."

Emilio Escobar, director de seguridad de la información, Datadog
DataDog

Introducción a DevSecOps

Obtenga información sobre cómo habilitar DevSecOps con GitHub y Azure.

Más información sobre la seguridad en la nube

Descubra cómo proteger sus aplicaciones y recursos en varias nubes.

Cuando usted diga

Configuremos su cuenta gratuita de Azure.

¿Podemos ayudarle?