DevSecOps
A szoftverek szállításának minden lépésében integrálhatja a biztonságot.
A dokumentáció elolvasásaIsmerje meg a biztonságos DevOps használatát lehetővé tevő Microsoft-termékeket és -szolgáltatásokat
Ma, amikor egyre több kiberfenyegetés jelenik meg, az alkalmazásokat létrehozó és üzemeltető csapatoknak új és komoly kihívásokkal kell szembesülniük. Ismerje meg, hogy a Microsoft hogyan kínál teljes értékű megoldást a DevSecOps, azaz a biztonságos DevOps bevezetéséhez a felhőbeli (vagy bármely más környezetbeli) alkalmazásokhoz az Azure-ral és a GitHubbal.
A biztonságos alkalmazások létrehozása és üzemeltetése olyan feladat, amelyben mindenkinek részt kell vennie a fejlesztéstől az üzemeltetésen át a támogatásig.
A balra tolási biztonság fogalma megköveteli, hogy a csapatokat támogassuk is és elszámoltathatóvá is tegyük abban, hogy a biztonságot előtérbe helyező megközelítést alkalmazzanak az alkalmazás fejlesztésének, csomagolásának és üzembe helyezésének már a korai szakaszaiban is.
Noha ez sokkal inkább szól a kulturális környezetről, mint az eszközökről, a Microsoft ezeket a törekvéseket az Azure és a GitHub által kínált termékekkel és szolgáltatásokkal tudja elősegíteni.
Valamilyen formában szinte minden létrehozott új alkalmazás felhasznál harmadik felek által írt kódot, beleértve a nyílt forráskódú összetevőket is. Noha ez egyértelmű előnyöket jelent, növeli a hatékonyságot és jobb együttműködést tesz lehetővé, egyúttal problémákat is okoz a szoftveres ellátási lánc szabályozásával és védelmével kapcsolatban.
A Microsoft és a GitHub olyan megoldásokat kínál, amelyek megbízhatóságot biztosítanak az éles környezetben futó kódhoz azzal, hogy megvizsgálják a kódot és a munkaelemekig terjedő nyomon követhetőségét, és betekintő adatokat kínálnak a harmadik féltől származó használatban lévő összetevőkről.
Az Azure-ral számos olyan szolgáltatást használhat, amelyekkel kényelmesebben és biztonságosabban kezelheti az alkalmazásokat.
A kódot felügyelt alkalmazásplatformokon, többek között a Kubernetesen futtathatja, és megbízható szolgáltatásokkal biztonságosan kezelheti a kulcsokat, a biztonsági jogkivonatokat és a titkos kódokat. A szabályzatokkal növelheti a környezet biztonságának megbízhatóságát. Ezt követően az alkalmazások és az infrastruktúra zökkenőmentes és biztonságos üzemeltetéséről valós idejű figyelési megoldásokkal gondoskodhat.
A szigorú hozzáférés-vezérlés gyakran az első lépés ahhoz, hogy védeni lehessen az alkalmazást, a kódot és az infrastruktúrát. Az Azure a legkiválóbb identitáskezelési szolgáltatásokat kínálja mind a szervezeten belüli felhasználóknak, mind az alkalmazásaihoz hozzáférő külső felhasználók számára.
Az identitásplatformunk használatával biztosíthatja a kódhoz való biztonságos hozzáférést a GitHubon, részletesen felügyelheti az Azure-erőforrásokhoz tartozó engedélyeket, sőt hitelesítési és engedélyezési szolgáltatásokat is kínálhat az alkalmazásokhoz.
Teljes körű használatra kész termékek és szolgáltatások
Vagy válassza ki az Önnek leginkább megfelelőket
A biztonságos alkalmazások alapja a biztonságos kód, de a kód biztonságossá tétele gyakran nem elég. A szoftveres ellátási lánc megbízható kezelése ugyanolyan fontos, mint a kód biztonsága.
A GitHub a világ legnépszerűbb fejlesztői platformja, amely olyan speciális funkciókat kínál, amelyek segítenek az alkalmazás kódjának és függőségeinek biztonságossá tételében:
- A GitHub Advanced Security az iparág vezető szemantikai kódelemzési rendszerét, a CodeQL-t használja ahhoz, hogy feltárja a kódban az esetleges biztonsági réseket.
- A biztonsági riasztásokkal és az automatikus biztonsági frissítésekkel (Dependabot) azonosíthatja és elháríthatja a biztonsági problémákat a függőségekben.
- Riasztásokat kaphat a titkos kódok vizsgálatáról, ha a hitelesítő adatok és a biztonsági jogkivonatok hibásan lettek véglegesítve a verziókövetési rendszerben.
Ha a folyamatos integrációhoz az Azure Pipelinest használja, a kód egy Docker tárolóba lesz lefordítva és becsomagolva minden véglegesítésnél, és automatikusan üzembe lesz helyezve egy tesztkörnyezetbe az Azure Dev Spaces használatával.
Emellett az Azure Pipelines folyamatos teljesítési képességei lehetővé teszik, hogy magabiztosan hozzon létre éles környezetre kész tárolólemezképeket teljes körű nyomon követéssel. A környezetében futó összes kód megismeréséhez visszakövetheti az összes rendszerkép véglegesítéseit, munkaelemeit és összetevőit.
Az éles üzemi tárolólemezképeket az Azure Container Registry tárolja, ahol azokat az Azure Security Centerrel való integrációnak köszönhetően automatikusan megvizsgálja a rendszer biztonsági réseket keresve.
Az AKS olyan Kubernetes-fürtöt biztosít, amelyet a Microsoft tart karban és gondoskodik a biztonságáról.
Az AKS-fürtöt közvetlenül a CI/CD-folyamatból is üzembe helyezheti egy infrastruktúra mint kód megoldás, például a Terraform használatával.
Az AKS-szel integrálhatja az Azure Policyt is, így gondoskodhat a műveletek megfelelőségéről is.
Fejlesztési és tesztelési környezetekben az Azure Dev Spaces ki tud építeni egy tesztelési Kubernetes-fürtöt minden egyes buildhez és egy lekéréses kérelemre válaszul.
Az Azure Key Vault használatával az alkalmazásokkal biztonságosan tárolhatja a kulcsokat, a tanúsítványokat, a biztonsági jogkivonatokat és más titkos kódokat úgy, hogy az alkalmazás futásidőben fogja betölteni őket. Ez biztonságosabb megoldás, mint ha ezeket az adatokat az alkalmazás kódjával együtt tárolná.
Akár külső, akár belső üzletági alkalmazást fejleszt, az Azure Active Directory (Azure AD) segítségével biztonságosan kezelheti az identitást és a hozzáférés-vezérlést.
Az Azure AD-vel a szervezet címtárának használatával végezhet hitelesítést olyan speciális biztonsági funkciók használatával, mint a többtényezős hitelesítés, az identitásvédelem és a rendellenes tevékenységek jelentése.
A külső elérésű alkalmazások esetében az Azure AD B2C lehetővé teszi a külső felhasználók hitelesítésének és engedélyezésének kényelmes kezelését akár közösségi fiókok használatával is.
Az Azure AD a részletes szerepköralapú hozzáférés-vezérlésnek köszönhetően az Azure-erőforrásokhoz és az Azure Portalhoz való hozzáférést is védi.
Az Azure Monitorral valós időben figyelheti az alkalmazást és az infrastruktúrát is, és azonosíthatja a kóddal kapcsolatos problémákat és az esetleges gyanús tevékenységeket és rendellenességeket is.
Az Azure Monitor integrálható az Azure Pipelines kiadási folyamataival, így lehetőség van a minőségi kapuk vagy a kiadási visszaállítások automatikus jóváhagyására a figyelési adatok alapján.
További információ a DevSecOps-termékekről és -szolgáltatásokról
Szeretne többet tudni a DevOpsról? Tekintse meg a Microsoft DevOps-megoldásait
RészletekDevSecOps az Azure-ban
A biztonság elsődleges szempont az olyan üzleti tevékenységeknél, ahol egyéni vagy ügyféladatokat tárolnak. Az ilyen adatok kezelését és felhasználói felületét végző megoldásokat a biztonság szem előtt tartásával kell kialakítani. A DevSecOps a fejlesztés kezdetétől ajánlott biztonsági eljárásokra épül, így a biztonságra nem a folyamat végén esedékes auditáláskor kell összpontosítani, hanem a balra tolást alkalmazva a kezdeti fejlesztési lépések során.
