DevSecOps
セキュリティで保護されたアプリを、信頼できるプラットフォームで構築しましょう。開発者ワークフローにセキュリティを組み込み、開発者、セキュリティ専門家、IT オペレーター間のコラボレーションを促進できます。
DevOps の速さで革新的なアプリを安全に提供
新しい種類のサイバーセキュリティ攻撃が増えているため、開発サイクルの早い段階でセキュリティを統合して、開発環境とソフトウェア サプライ チェーンを強化する必要があります。DevSecOps は、DevOps と SecOps のチーム間でコラボレーションを促進するために GitHub と Azure の製品やサービスを組み合わせたものです。完全なソリューションを使用して、DevOps の速さで、より安全で革新的なアプリを提供できます。
組織内のあらゆる人を安全なアプリケーションの構築と運用に関与させることで、環境の保護に役立てます。"シフトレフト" のセキュリティとは、計画から開発、パッケージ化、デプロイに至るまでの開発の初期段階でセキュリティに関する考え方を組み込むことです。Microsoft Visual Studio と GitHub を使用して開発者のワークフローにセキュリティを統合することで、コード レビュー時に潜在的なセキュリティの脆弱性を自動的に検出できます。
サードパーティのコードやオープンソースのソフトウェアをアプリケーションで使用している場合に、ソフトウェア サプライ チェーンの制御性を向上させることができます。セキュリティを強化するために、運用環境のコードを検査し、使用されているサードパーティ コンポーネントをトレースする Azure および GitHub の製品とサービスを使用すると、自信を持って開発することができます。
より便利で安全なアプリケーション運用を可能にする幅広い Azure サービスを利用できます。Kubernetes を含むマネージド アプリケーション プラットフォームでコードを実行でき、信頼されたサービスを使用してキー、トークン、シークレットをより安全に管理できます。ポリシーを使用すると、環境のセキュリティについて自信を高めることができます。アプリケーションとインフラストラクチャに対してリアルタイム監視ソリューションを利用することで、スムーズで安全な運用を実現できます。
厳しいアクセス制御で、アプリケーション、コード、インフラストラクチャを保護できます。Azure によって、組織の内部ユーザーと、アプリケーションにアクセスする外部コンシューマー向けに、優れた ID サービスが提供されます。DevSecOps のツールと ID プラットフォームを使用して、GitHub 上のコードへのアクセスをセキュリティで保護し、Azure リソースのアクセス許可をきめ細かく管理し、アプリケーションのための認証と認可のサービスを提供できます。
製品とサービス一式を利用することも、必要なものだけを選択することも可能
世界で最も人気のある開発者プラットフォームである GitHub には、アプリのコードと依存関係をセキュリティで保護できるようにするための高度な機能が用意されています。
- GitHub Advanced Security と、業界トップ レベルのセマンティック コード分析エンジンである CodeQL を利用すると、コードの脆弱性を特定できます。
- セキュリティの警告と自動セキュリティ更新プログラムのための Dependabot を使用すると、依存関係のセキュリティに関する問題を特定し、修復できます。
- シークレットのスキャンによって、資格情報とトークンが誤ってソース管理にコミットされた場合にアラートを受け取ることができます。
エンドツーエンドの完全な追跡可能性が備わった実稼働対応のコンテナー イメージを、自信を持って構築できます。継続的インテグレーションと継続的デリバリー (CI/CD) に Azure Pipelines を使用すると、コードがコンパイルされ、コミットごとに Docker コンテナーにパッケージ化され、テスト環境に自動的にデプロイされます。環境で実行されているすべてのコードを把握するために、すべてのイメージのコミット、作業項目、成果物をトレースできます。
GitHub Actions を使用すると、プッシュ、イシューの作成、新しいリリースなどの GitHub イベントでソフトウェア ワークフローを自動化して実行できます。使用するサービスのアクションを組み合わせて構成し、複数のオペレーティング システム間で同時にテストを行うマトリックス ワークフローで時間を節約できます。コードのビルド、テスト、デプロイでは、希望する言語がサポートされます。
Terraform などのコードとしてのインフラストラクチャ ソリューションを使用して、CI/CD パイプラインから直接 AKS クラスターをデプロイできます。
Azure Policy と AKS を一緒に使用することで、運用の確実な準拠を実現できます。
Azure Key Vault を使用して、キー、証明書、トークン、その他のシークレットを安全に保管および管理することで、アプリケーションが実行時にそれらを読み込むことができるようになると同時に、アプリケーションのコード内にキーを含めるリスクを回避できます。 ハードウェア セキュリティ モジュール (HSM) でキーのインポートと生成を行うことで、セキュリティを FIPS 140-2 レベル 2 およびレベル 3 のコンプライアンスへと強化できます。
GitHub Advanced Security のシークレットのスキャンと組み合わせると、コード リポジトリにシークレットをプッシュすることによって発生する脆弱性を防ぐことができます。
外部向けのアプリと社内の基幹業務アプリのどちらを構築している場合でも、Azure Active Directory (Azure AD) を使用して ID とアクセス制御を管理できます。
Azure AD のワークロード ID フェデレーション機能を使用すると、GitHub シークレット ストアで Azure サービス プリンシパル シークレットやその他のクラウド資格情報を管理する必要がなくなります。Azure ですべてのクラウド リソース アクセスをより安全に管理できます。これらの機能により、GitHub で資格情報の有効期限が切れることでサービスのダウンタイムが発生するリスクも最小限に抑えられます。
組織のディレクトリでユーザーの認証を行い、多要素認証、Azure AD Identity Protection、異常アクティビティ レポートなどの高度なセキュリティ機能を活用できます。
Azure リソースや Azure portal へのアクセスは、きめ細かいロールベースのアクセス制御 (RBAC) を使用して保護できます。
外部ユーザー向けの企業消費者間アプリケーションへのアクセスは、Azure Active Directory B2C を使用して管理します。
Azure Monitor を使用すると、アプリケーションとインフラストラクチャをリアルタイムで監視できます。 コードに関する問題と、疑わしい可能性があるアクティビティや異常を特定できます。
Azure Monitor は Azure Pipelines のリリース パイプラインと統合されており、データの監視に基づいて品質ゲートを自動承認したり、リリースのロールバックを行ったりすることができます。
Microsoft Defender for Cloud は、Azure、オンプレミス、またはマルチクラウドのワークロードとセキュリティ態勢の継続的な評価、保護、防御を行います。Microsoft Defender for DevOps と統合すると、DevOps のインベントリと、実稼働前のアプリケーション コードとリソース構成のセキュリティ態勢を完全に可視化できます。
すべてのエンタープライズ DevOps 環境をセキュリティで保護する方法の説明
エンタープライズ DevOps のツールとプラクティスの理想的で安全なセットアップについて詳しくご覧になれます。この電子書籍では、特に開発者、DevOps プラットフォーム、アプリケーション環境の強化に焦点を当てています。
関連製品
Visual Studio Code
クラウド開発用の強力かつ軽量なコード エディターです。
Azure DevOps
チームがコードを共有し、作業を追跡し、ソフトウェアを出荷するためのサービスです。
GitHub Enterprise
オープンソースのコードとベスト プラクティスをエンタープライズ プロジェクトに安全に導入することで、大規模なイノベーションを実現できます。
Azure Key Vault
キーやその他のシークレットを保護し、制御を維持できます。
Azure Active Directory
オンプレミスのディレクトリを同期してシングル サインオンを実現できます。
Azure Monitor
アプリケーション、インフラストラクチャ、ネットワークに対する完全な監視機能です。
Microsoft Defender for Cloud
マルチクラウドおよびハイブリッド環境を保護できます。
Microsoft Defender for DevOps
統一された可視性とポリシー制御によって、セキュリティと開発のチームの橋渡しができます。
Azure での DevSecOps
事業でカスタム データまたはクライアント データを保管する場合には、セキュリティを考慮して、そのようなデータの管理と連携に対応するためのソリューションを開発します。DevSecOps では、シフトレフト戦略を使用して、最後に監査を行うのではなく、セキュリティについてのベスト プラクティスを開発の最初の段階から利用します。