DevSecOps

Integra la sicurezza in ogni aspetto del ciclo di vita di distribuzione del software.

Leggi la documentazione

Esplora i prodotti e i servizi Microsoft che consentono l'approccio DevOps sicuro

Con l'aumentare delle minacce informatiche, i team che creano e gestiscono applicazioni devono affrontare ogni giorno nuove difficoltà significative. Scopri in che modo Microsoft offre una soluzione completa per abilitare un approccio DevSecOps, o DevOps sicuro, per le app sul cloud (e ovunque) con Azure e GitHub.

La creazione e la gestione di applicazioni sicure richiedono il coinvolgimento di tutti, dallo sviluppo a operazioni e supporto tecnico.

Il concetto di sicurezza con esecuzione anticipata dei test richiede di offrire ai team l'opportunità e la responsabilità di includere la sicurezza nelle prime fasi della pianificazione, fino a sviluppo, creazione di pacchetti e distribuzione dell'applicazione.

Benché si tratti di un processo basato sul cambiamento culturale, oltre che su strumenti specifici, Microsoft può contribuire con prodotti e servizi di Azure e GitHub.

Quasi tutte le nuove applicazioni create sfruttano codice scritto da terze parti, inclusi componenti open source, almeno in qualche modulo. Benché questo approccio offra vantaggi chiari, incrementando la produttività e migliorando la collaborazione, crea anche difficoltà correlate al controllo e alla protezione della supply chain per il software.

Microsoft e GitHub offrono soluzioni che permettono di fidarsi del codice in esecuzione in produzione mediante l'ispezione del codice e la disponibilità della tracciabilità fino agli elementi di lavoro e le informazioni dettagliate sui componenti di terze parti usati.

Grazie ad Azure, puoi sfruttare un ampio set di servizi che rendono più semplice e sicura la gestione dell'applicazione.

Esegui il codice in piattaforme applicative gestite, tra cui Kubernetes, e sfrutta servizi affidabili per gestire le chiavi, i token e i segreti in modo sicuro. Incrementa la fiducia nella sicurezza dell'ambiente grazie ai criteri. Assicura quindi operazioni sicure sfruttando le soluzioni di monitoraggio in tempo reale per le applicazioni e l'infrastruttura.

Un controllo di accesso rigoroso è spesso il primo passaggio per proteggere l'applicazione, il codice e l'infrastruttura. Azure offre servizi di gestione delle identità leader di settore per gli utenti nell'organizzazione e i consumer esterni che accedono alle tue applicazioni.

Sfrutta i vantaggi della piattaforma per le identità per proteggere l'accesso al codice in GitHub, gestire in modo granulare le autorizzazioni per le risorse di Azure e anche offrire servizi di autenticazione e autorizzazione per le applicazioni.

Sfrutta un set completo ed end-to-end di prodotti e servizi

Puoi anche scegliere solo gli elementi più rilevanti per te

Le applicazioni sicure iniziano con codice sicuro ma la protezione del codice spesso non è sufficiente. La gestione della supply chain per il software in tutta sicurezza è importante quanto assicurarsi che il codice sia protetto.

GitHub, la piattaforma per sviluppatori più diffusa al mondo, offre funzionalità avanzate che contribuiscono alla protezione del codice e delle dipendenze della tua app:

  • GitHub Advanced Security sfrutta CodeQL, il motore di analisi semantica del codice leader di settore, per identificare vulnerabilità nel codice.
  • Identifica e correggi i problemi di sicurezza nelle dipendenze usando gli avvisi di sicurezza e gli aggiornamenti automatici della sicurezza (Dependabot).
  • Ricevi avvisi con analisi dei segreti quando viene eseguito per errore il commit di credenziali e token nel controllo del codice sorgente.

Grazie all'uso di Azure Pipelines per l'integrazione continua, il codice viene compilato e inserito in pacchetti in un contenitore Docker a ogni commit e viene distribuito automaticamente in un ambiente di test con Azure Dev Spaces.

Le funzionalità di recapito continuo di Azure Pipelines ti permettono inoltre di creare in tutta sicurezza immagini del contenitore pronte per la produzione con tracciabilità end-to-end completa. Puoi risalire a commit, elementi di lavoro e artefatti di ogni immagine per ottenere informazioni su tutto il codice in esecuzione nell'ambiente.

Le immagini del contenitore di produzione vengono archiviate in Registro Azure Container, dove vengono analizzate automaticamente per rilevare vulnerabilità grazie all'integrazione con il Centro sicurezza di Azure.

Il servizio Azure Kubernetes offre un cluster Kubernetes gestito e protetto da Microsoft.

Puoi distribuire il cluster del servizio Azure Kubernetes direttamente dalla pipeline di CI/CD usando soluzioni di tipo infrastruttura distribuita come codice, ad esempio Terraform.

Integra Criteri di Azure con il servizio Azure Kubernetes per assicurare che le operazioni siano conformi.

Per gli ambienti di sviluppo e test, Azure Dev Spaces può effettuare il provisioning di un cluster Kubernetes di prova per ogni build e in risposta a una richiesta pull.

Le applicazioni possono sfruttare Azure Key Vault per archiviare in modo sicuro chiavi, certificati, token e altri segreti, per consentire alle applicazioni di caricarli in fase di esecuzione. Si tratta di un approccio alternativo più sicuro rispetto all'inclusione di questi elementi nel codice delle applicazioni.

Se stai creando un'app rivolta all'esterno o un'app line-of-business interna, puoi sfruttare i vantaggi di Azure Active Directory (Azure AD) per gestire in modo sicuro le identità e il controllo di accesso.

Usa Azure AD per l'autenticazione nella directory dell'organizzazione, sfruttando funzionalità avanzate per la sicurezza, tra cui Multi-Factor Authentication, Identity Protection e report delle attività anomale.

Per le app rivolte all'esterno, Azure AD B2C ti permette di gestire in modo semplice l'autenticazione e l'autorizzazione degli utenti esterni, usando anche gli account di social networking.

Azure AD protegge anche l'accesso alle risorse di Azure e al portale di Azure, grazie al controllo degli accessi in base al ruolo granulare.

Grazie a Monitoraggio di Azure, puoi monitorare l'applicazione e l'infrastruttura in tempo reale, identificando i problemi relativi al codice e potenziali attività sospette e anomalie.

Monitoraggio di Azure si integra con le pipeline di versione in Azure Pipelines per abilitare l'approvazione automatica delle attività di controllo della qualità o il rollback della release in base ai dati del monitoraggio.

Scopri di più su prodotti e servizi di DevSecOps

Ti interessa DevOps? Visualizza le soluzioni DevOps di Microsoft

Scopri di più

DevSecOps in Azure

La sicurezza è una delle preoccupazioni principali per i business che archiviano qualsiasi tipo di dati personalizzati o di clienti. La soluzione che si occupa della gestione e dell'interfaccia di tali dati deve essere sviluppata con un'attenzione specifica per la sicurezza. DevSecOps comporta l'utilizzo delle procedure consigliate per la sicurezza fin dalle prime fasi di sviluppo, spostando l'attenzione sulla sicurezza dal controllo finale allo sviluppo iniziale, grazie a una strategia basata sull'esecuzione anticipata dei test.

Sei pronto per iniziare a usare DevSecOps?

Leggi la documentazione