Passer la navigation

DevSecOps

Intégrez la sécurité dans tous les aspects du cycle de vie de la distribution de logiciels.

Lisez la documentation

Explorez les produits et services Microsoft qui permettent de sécuriser les activités DevOps

Avec un nombre toujours plus élevé de cybermenaces, les équipes qui créent et exploitent des applications sont confrontées à de nouveaux défis et à de fortes difficultés chaque jour. Découvrez la solution complète qu’offre Microsoft pour activer DevSecOps, ou des opérations DevOps sécurisées, pour les applications sur le cloud (et ailleurs) avec Azure et GitHub.

La création et l’exploitation d’applications sécurisées représentent un effort qui requiert l’implication de tous, du développement aux opérations et au support.

Le concept de sécurité proactive (approche « shift-left ») nécessite de faire en sorte que les équipes s’intéressent aux problématiques de sécurité dès les premières étapes, de la planification au développement, à l’empaquetage et au déploiement de l’application.

Comme cela implique un changement culturel et d’avoir les outils adaptés, Microsoft peut vous aider à utiliser les produits et services d’Azure et GitHub.

Presque toutes les nouvelles applications créées tirent parti de code écrit par des tiers, notamment des composants open source, au moins sous une certaine forme. Bien que cela offre des avantages clairs, ce qui permet une productivité accrue et une meilleure collaboration, cela crée également des défis liés au contrôle et à la sécurisation de votre chaîne d’approvisionnement de logiciels.

Microsoft et GitHub offrent des solutions qui vous apportent une grande confiance dans le code que vous exécutez en production, en inspectant votre code et en autorisant la traçabilité jusqu’aux éléments de travail et insights sur les composants tiers qui sont utilisés.

Avec Azure, vous pouvez tirer parti d’un ensemble complet de services qui rendent votre application plus pratique et plus sûre.

Exécutez votre code sur des plateformes d’applications managées, notamment Kubernetes, et tirez parti de services de confiance pour gérer vos clés, jetons et secrets de façon sécurisée. Renforcez la confiance dans la sécurité de votre environnement avec des stratégies. Garantissez par la suite des opérations homogènes et sécurisées en tirant parti des solutions de supervision en temps réel pour vos applications et votre infrastructure.

Un contrôle d’accès étroit est la première étape qui permet de protéger votre application, votre code et votre infrastructure. Azure offre des services d’identité de pointe pour les utilisateurs au sein de votre organisation et pour les consommateurs externes qui accèdent à vos applications.

Tirez parti de notre plateforme d’identité pour sécuriser l’accès à votre code sur GitHub, gérer les autorisations pour les ressources Azure de façon granulaire et même offrir des services d’authentification et d’autorisation pour vos applications.

Tirez parti d’un ensemble complet de produits et de services de bout en bout

Vous pouvez également choisir uniquement ceux qui sont les plus pertinents pour vous

Une application sécurisée exige un code sécurisé, mais la sécurisation de votre code est souvent insuffisante. La gestion de votre chaîne d’approvisionnement de logiciels en toute confiance est tout aussi importante que le fait de garantir la sécurité de votre code.

GitHub, la plateforme de développement la plus populaire au monde, offre des fonctionnalités avancées qui vous aident à sécuriser le code et les dépendances de votre application :

  • GitHub Advanced Security utilise CodeQL, le moteur d’analyse de code sémantique leader du secteur, pour identifier les vulnérabilités dans votre code.
  • Identifiez et corrigez les problèmes de sécurité dans vos dépendances à l’aide des alertes de sécurité et des mises à jour de sécurité automatisées (Dependabot).
  • Recevez des alertes avec analyse des secrets lorsque les informations d’identification et les jetons sont validés par erreur dans le contrôle de code source.

À l’aide d’Azure Pipelines pour l’intégration continue, votre code est compilé et empaqueté dans un conteneur Docker à chaque validation et déployé automatiquement dans un environnement de test avec Azure Dev Spaces.

En outre, les fonctionnalités de livraison continue d’Azure Pipelines vous permettent de créer en toute confiance des images conteneurs prêtes pour la production, avec une traçabilité complète de bout en bout. Vous pouvez effectuer le suivi des validations, des éléments de travail et des artefacts de chaque image pour mieux comprendre l’ensemble du code en cours d’exécution dans votre environnement.

Les images conteneurs de production sont stockées sur Azure Container Registry, où elles sont automatiquement analysées à la recherche de vulnérabilités grâce à l’intégration avec Azure Security Center.

AKS propose un cluster Kubernetes tenu à jour et sécurisé par Microsoft.

Vous pouvez déployer votre cluster AKS directement à partir de votre pipeline CI/CD, à l’aide de solutions d’infrastructure en tant que code, telles que Terraform.

Intégrez Azure Policy avec AKS pour garantir la conformité des opérations.

Pour les environnements de développement et de test, Azure Dev Spaces permet de provisionner un cluster Kubernetes de test pour chaque build et en réponse à une demande de tirage.

Vos applications peuvent tirer parti d’Azure Key Vault pour stocker en toute sécurité des clés, des certificats, des jetons et d’autres secrets, afin que vos applications puissent les charger au moment de l’exécution. Il s’agit d’une alternative plus sûre que d’y inclure le code de vos applications.

Que vous soyez en train de créer une application externe ou une application métier interne, vous pouvez tirer parti d’Azure Active Directory (Azure AD) pour gérer en toute sécurité l’identité et le contrôle d’accès.

Utilisez Azure AD pour vous authentifier auprès du répertoire de votre organisation, en tirant parti des fonctionnalités de sécurité avancées telles que Multi-Factor Authentication, Identity Protection et le rapport sur les activités anormales.

Pour les applications externes, Azure AD B2C vous permet de gérer facilement l’authentification et l’autorisation des utilisateurs externes, même à l’aide de comptes de réseaux sociaux.

Azure AD protège également l’accès à vos ressources Azure et au portail Azure, grâce à un contrôle granulaire de l’accès en fonction du rôle.

Avec Azure Monitor, vous pouvez superviser à la fois votre application et votre infrastructure en temps réel, en identifiant les problèmes liés à votre code ainsi que les activités suspectes et les anomalies potentielles.

Azure Monitor s’intègre aux pipelines de mise en production dans Azure Pipelines pour permettre l’approbation automatique des contrôles de qualité ou de la restauration de version en fonction des données de supervision.

Découvrez comment intégrer votre équipe de sécurité à une équipe DevOps existante

Lisez 6 astuces pour intégrer la sécurité à vos pratiques DevOps et découvrez comment des organisations novatrices ont implémenté DevSecOps dans leurs activités.

En savoir plus sur les produits et services DevSecOps

DevOps vous intéresse ? Afficher les solutions DevOps de Microsoft

En savoir plus

DevSecOps dans Azure

La sécurité est un problème majeur pour les entreprises qui stockent tous types de données personnalisées ou clientes. La solution qui couvre la gestion et l’interface de ces données doit être développée en gardant la sécurité à l’esprit. DevSecOps implique le respect des bonnes pratiques de sécurité dès les premières phases de développement, misant ainsi sur la sécurité plus que sur l’audit final et sur le développement initial à l’aide d’une stratégie shift-left.

Vous êtes prêt à utiliser DevSecOps ?

Lisez la documentation