DevSecOps

エンドツーエンドの完全な追跡可能性が備わった実稼働対応のコンテナー イメージを、自信を持って構築できます。継続的インテグレーションと継続的デリバリー (CI/CD) に Azure Pipelines を使用すると、コードがコンパイルされ、コミットごとに Docker コンテナーにパッケージ化され、テスト環境に自動的にデプロイされます。環境で実行されているすべてのコードを把握するために、すべてのイメージのコミット、作業項目、成果物をトレースできます。

GitHub Actions を使用すると、プッシュ、イシューの作成、新しいリリースなどの GitHub イベントでソフトウェア ワークフローを自動化して実行できます。使用するサービスのアクションを組み合わせて構成し、複数のオペレーティング システム間で同時にテストを行うマトリックス ワークフローで時間を節約できます。コードのビルド、テスト、デプロイでは、希望する言語がサポートされます。

Terraform などのコードとしてのインフラストラクチャ ソリューションを使用して、CI/CD パイプラインから直接 AKS クラスターをデプロイできます。  

Azure Policy と AKS を一緒に使用することで、運用の確実な準拠を実現できます。  

Azure Key Vault を使用して、キー、証明書、トークン、その他のシークレットを安全に保管および管理することで、アプリケーションが実行時にそれらを読み込むことができるようになると同時に、アプリケーションのコード内にキーを含めるリスクを回避できます。  ハードウェア セキュリティ モジュール (HSM) でキーのインポートと生成を行うことで、セキュリティを強化し、FIPS 140-2 レベル 2 およびレベル 3 に準拠できます。

 GitHub Advanced Security または GitHub Advanced Security for Azure DevOps  のシークレット スキャン機能との組み合わせにより、コード リポジトリに機密情報がプッシュされた場合に発生する脆弱性への対策ができます。

外部向けのアプリと社内の基幹業務アプリのどちらを構築している場合でも、Azure Active Directory (Azure AD) を使用して ID とアクセス制御を管理できます。  

Azure AD のワークロード ID フェデレーション機能を使用すると、GitHub シークレット ストアで Azure サービス プリンシパル シークレットやその他のクラウド資格情報を管理する必要がなくなります。Azure ですべてのクラウド リソース アクセスをより安全に管理できます。これらの機能により、GitHub で資格情報の有効期限が切れることでサービスのダウンタイムが発生するリスクも最小限に抑えられます。

組織のディレクトリでユーザーの認証を行い、多要素認証、Azure AD Identity Protection、異常アクティビティ レポートなどの高度なセキュリティ機能を活用できます。  

Azure リソースや Azure portal へのアクセスは、きめ細かいロールベースのアクセス制御 (RBAC) を使用して保護できます。 

外部ユーザー向けの企業消費者間アプリケーションへのアクセスは、Azure Active Directory B2C を使用して管理します。 

Azure Monitor を使用すると、アプリケーションとインフラストラクチャをリアルタイムで監視できます。 コードに関する問題と、疑わしい可能性があるアクティビティや異常を特定できます。

Azure Monitor は Azure Pipelines のリリース パイプラインと統合されており、データの監視に基づいて品質ゲートを自動承認したり、リリースのロールバックを行ったりすることができます。

Microsoft Defender for Cloud は、Azure、オンプレミス、またはマルチクラウドのワークロードとセキュリティ態勢の継続的な評価、保護、防御を行います。Microsoft Defender for DevOps と統合すると、DevOps のインベントリと、実稼働前のアプリケーション コードとリソース構成のセキュリティ態勢を完全に可視化できます。